GDPR: Il Gruppo di Lavoro Privacy e Protezione dei Dati - SPPD-RSMSEFT

In relazione alle esigenze e alle scelte organizzative del singolo ente, si potrà pensare all'istituzione di un ufficio privacy, cui demandare il coordinamento e controllo delle attività relative alla protezione delle persone fisiche a riguardo del trattamento dei dati. La costituzione di un ufficio di questa natura non riveste profili di obbligatorietà e, pertanto, è demandata a decisioni di impresa.

Un ufficio privacy dovrà curare di avere esperti legali ed esperti di sicurezza informatica e potrà essere inserito nell'organigramma aziendale secondo equilibri ed esigenze interne di posizionamento. Non è da confondere con l'ufficio, anch'esso eventualmente costituito, del Responsabile della protezione dei dati. L'ufficio privacy, di cui si tratta in questa sede, non ha compiti consultivi e di sorveglianza, essendo, invece, investito di compiti gestionali ed operativi.

NOTA: Si consiglia di dotare l'ufficio di un protocollo di funzionamento, al fine di coordinarne l'attività con altri uffici, come quelli "legale e contenzioso", "assistenza alla clientela e reclami", servizio IT", "risorse umane.

Occorre che l'azienda delimiti precisamente le competenze dell'ufficio privacy, per evitare che lo stesso assorba competenze e incombenze altrui; buona cosa è prevedere istruttorie congiunte delle pratiche, quando le stesse riguardino aspetti di tutela della riservatezza delle persone.

NOMINE Dl REPONSABILI E Dl SOGGETTI AUTORIZZATI (Artt. 5, 24)

Legge 167/2017, art. 28 Artt. 4 e 29 del Codice della Privacy (D. Lgs. 196/2003)

DI CHE PARLIAMO

Si possono nominare referenti interni posti in posizione apicale?

La risposta è senz'altro affermativa, anche se non trova un esatto articolo del Regolamento UE 2016/679, in grado di supportarlo.

A questo proposito si consideri che:

• il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CÉ e, quindi, al Codice italiano (Guida all'applicazione del Regolamento UE 2016/679 del Garante Privacy)

• il titolare del trattamento deve mettere in atto misure (oltre che tecniche, anche) organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento (articolo 24 GDPR) la legge 20 novembre 2017, n. 167, recante "Disposizioni per l'adempimento degli obblighi derivanti dall'appartenenza dell'Italia all'Unione europea

Legge europea 2017 nel modificare l'articolo 29 del Codice della privacy (dedicato al responsabile «del trattamento) ha introdotto disposizioni riferibili esattamente al responsabile esterno del trattamento, ma non ha in alcun modo abrogato o riformulato riduttivamente il predetto articolo 29 con riferimento alla possibilità di applicazione al responsabile interno del trattamento.

CHI DEVE CONFORMARSI

Il Regolamento non prevede la figura del responsabile interno del trattamento.

Rimane fermo il fatto che un'eventua le carenza di misure organizzative (e in questo rientra l'omessa istituzione di centri di imputazione interna di attività) potrà essere considerata, se non per altro, come violazione del principio di responsabilizzazione (articolo 5 RGPD) o degli obblighi del titolare del trattamento (art. 24).

DOCUMENTAZIONE CARTACEA NESESSARIA

L'ente/impresa, se procede alla nomina di un referente interno (comunque lo chiami) dovrà compilare un atto in cui elencare analiticamente per iscritto i compiti assegnati, corredandolo delle relative istruzioni impartite e dalla individuazione delle modalità di verifica e di controllo.

L'articolo 28 della legge Europea 2017, nell'integrare l'articolo 29 del Codice della privacy, ha, dunque, previsto un doppio binario: il responsabile del trattamento che chiameremo "base" e il responsabile del trattamento esterno.

La disciplina di queste due figure è riassunta nella seguente alberatura:

in accordo a: Artt. 4 E 29, commi 1, 2, 3, 4 e 5

Definizione Preposto al trattamento

Designazione Facoltativa

Requisiti Individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento, compreso il profilo relativo alla sicurezza.

Numero Se necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti affidati analiticamente e specificati per iscritto dal titolare

Fonte del rapporto Compiti affidati analiticamente per scritto dal TdT

Controlli e verifiche II responsabile effettua il trattamento attenendosi alte condizioni stabilite negli atti giuridici tra titolare, e responsabile e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di disposizioni in materia di trattamento, delle proprie istruzioni e di quanto stabilito negli atti giuridici predetti

in accordo a: Artt. 4 E 29, commi 4 bis e 5

Individuazione soggettiva Soggetti pubblici o privati

Fonte del rapporto Atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal garante

Controlli e verifiche Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni in materia di trattamento, delle proprie istruzioni

__________________________________________________________________

Autorizzati al trattamento (Artt. 4, 29, 32. 39)

DI COSA PARLIAMO

L'autorizzazione al trattamento dei dati è l'atto con il quale il titolare del trattamento abilita i propri dipendenti a trattare i dati nell'ambito della sua organizzazione e per le finalità della stessa. Senza l'autorizzazione il trattamento de dati non è legittimo.

OBBLIGHI MANDATORI

Sono obbligati a redigere l'autorizzazione tutti i titolari di trattamento (sia imprese sia enti pubblici)

DOCUMENTAZIONE ESSENZIALE

Il soggetto obbligato è tenuto a redigere un atto di autorizzazione, che contiene l'ambito del trattamento autorizzato; alla nomina sono da abbinare le istruzioni per i trattamenti, per l'uso dei dispositivi e per le misure di sicurezza da Osservare.

Pur non prevedendo espressamente la figura dell' "incaricato" del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile" (si veda, in particolare, art. 4, n. 10, del regolamento).

Le disposizioni del Codice della Privacy in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di "responsabilizzazione" di titolari e responsabili del trattamento che prevede l'adozione di misure atte a garantire proattivamente l'osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene opportuno che titolari e responsabili del trattamento mantengano in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante (si veda art. 30 del Codice

http://www.garanteprivacy.it/web/guest/ home/docweb/docwebdisplay/docweb/1507921, ovvero

http://www.garanteprivacy.it/web/guest/home/docweb/docweb-display/docweb/1508059 per quanto riguarda la pubblica amministrazione, ovvero

http://www.garanteprivacy.it/web/guest/home/docweb/docweb-display/docweb/1813953 in materia di tracciamento delle attività bancarie

NOTA: le misure di cui ai riferimenti sitografici cono mirate a garantire e dimostrare "che il trattamento è effettuato conformemente" al regolamento (si veda art. 24, paragrafo 1, del regolamento).

Consideriamo la seguente alberatura riassuntiva per l'operatore/atuorizzato:

Stesura e sottoscrizione atto di autorizzazione

• ambito del trattamento consentito

• istruzioni sulle operazioni di trattamento

• istruzioni sulle misure di sicurezza

• Profilo autorizzazione

• aggiornamento istruzioni

• mantenimento requisito formativo