Criteri e modalità per l'individuazione del responsabile della protezione dei dati personali.
Decreto della Presidenza del Consiglio dei Ministri del 25 maggio 2018 in G.U. n. 139 del 18 giugno 2018.
La Presidenza del Consiglio dei Ministri con il Decreto del 25 maggio 2018 (in G.U. n. 139 del 18 giugno 2018) stabilisce criteri e modalità per l'individuazione del responsabile della protezione dei dati personali. Pur trattandosi di un una disciplina prettamente interna alla Presidenza del Consiglio, il decreto offre interessanti spunti anche per le altre pubbliche amministrazioni.
In primo luogo viene indicato come “titolare del trattamento” la stessa Presidenza del Consiglio dei Ministri nelle sue articolazioni organizzative, mentre come “responsabile del trattamento” la persona fisica o giuridica, estranea alla Presidenza del Consiglio dei Ministri, che tratta dati personali per conto del titolare del trattamento.
Vengono quindi individuate i soggetti che esercitano le funzioni di titolare del trattamenti dei dati personali, ciascuno nel rispettivo ambito di competenza, ovvero:
a) i Capi dei Dipartimenti;
b) i Capi degli uffici autonomi;
c) i Capi degli uffici di diretta collaborazione del Presidente;
d) i Capi di Gabinetto degli uffici di diretta collaborazione dei Ministri e dei Sottosegretari;
e) i Coordinatori delle strutture di missione, qualora non istituite presso strutture generali della PCM;
f) il Coordinatore della Segreteria tecnica della Commissione per le adozioni internazionali il Coordinatore del Servizio per i voli di Stato, di Governo e umanitari, tenuto conto della particolare posizione di autonomia funzionale e gestionale delle unità organizzative cui sono preposti.
Al Segretario generale sono invece rivolte funzioni di coordinamento al fine di fornire indicazioni di carattere generale alle strutture in termini di definizione delle policy in materia di trattamento dei dati personali. Il Segretario generale ha inoltre il compito di nominare il RPD.
Ai soggetti che esercitano le funzioni di titolari del trattamento viene affidato il compito di prevedere misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento dei dati personali è effettuato in modo conforme al GDPR 679/2016.
Questi devono quindi:
a) definire finalità, mezzi di trattamento e rispettive responsabilità in merito all'osservanza degli obblighi previsti in caso di contitolarità del dato personale ai sensi dell'art. 26 del regolamento;
b) designare gli autorizzati al trattamento dei dati personali sulla base delle proposte dei dirigenti responsabili del procedimento, fornendo adeguate istruzioni per il loro corretto trattamento;
c) stipulare i contratti di cui all'art. 28, paragrafo 3, del regolamento, per disciplinare il rapporto con il responsabile del trattamento di cui all'art. 7;
d) notificare al Garante della protezione dei dati personali le violazioni dei dati personali (data breach) e provvedere alla comunicazione della violazione agli interessati, ai sensi degli articoli 33 e 34 del Regolamento, secondo quanto disposto all'art. 9 e darne informativa al RPD;
e) nominare un «referente privacy» della struttura per il supporto all'esercizio delle funzioni di titolare del trattamento e alle attività di gestione degli adempimenti connessi alla protezione dei dati nonchè come punto di contatto con il RPD;
f) effettuare l'analisi del rischio e la valutazione dell'impatto di cui all'art. 35 del regolamento;
g) adottare misure appropriate al fine di garantire l'esercizio dei diritti di coloro i cui dati personali sono oggetto di trattamento previsti agli articoli da 15 a 18 e da 20 a 22 del regolamento;
h) verificare la corretta predisposizione delle informative e curarne il costante aggiornamento.
Il responsabile del trattamento deve essere individuate con apposite contratto o altro atto giuridico, sottoscritto dal titolare deltrattamento o da chi ne esercita le funzioni.
Il responsabile del trattamento tratta i dati personali in applicazione di quanto espressamente previsto nel contratto o in altro atto giuridico e ai sensi degli articoli 28, 29, 30 e 31 del regolamento UE, in ordine a:
a) materia disciplinata e durata del trattamento;
b) natura e le finalità del trattamento;
c) tipo di dati personali;
d) categorie di interessati;
e) obblighi e i diritti del titolare del trattamento.
Quanto alla nomina del RPD (definito anche DPO, acronimo di Data Protection Officer), il decreto prevede l’ipotesi sia della designazione interna che esterna all’amministrazione mediante apposite contratto di servizi con una società esterna. Nella prima ipotesi (nomina interna) al RPD designato prevede l’assegnazione di personale di supporto con specifiche competenze giuridiche, informatiche, di analisi e reingegnerizzazione di processi, di risk assessment e risk management. Tale personale si prevede debba essere collocato in una struttura dotata di autonomia funzionale e gestionale.
Nell’ipotesi di violazione dei dati personali (data breach) viene previsto che chiunque venga a conoscenza di una violazione dei dati personali deve segnalarlo, per il tramite del proprio superior gerarchico, al soggetto che esercita le funzioni di titolare del trattamento. Il soggetto che esercita le funzioni di titolare del trattamento, ove possibile, notifica la violazione dei dati personali al Garante della protezione dei dati personali entro 72 ore dal momento in cui ne sia venuto a conoscenza, a meno che sia improbabile che la stessa violazione presenti un rischio per la tutela dei diritti e delle libertà delle persone fisiche.
Così come viene prevista la segnalazione e la notifica dei casi di violazione dei dati al Segretario generale e al RPD.
Email: [email protected]
Ti potrebbero anche interessare i seguenti articoli
Comunicazione al Garante della Privacy del DPO nominato: il nuovo modello.
Il Regolmento UE 679/2016 in materia di protezione dei dati personali, con l'entrata in vigore il 25 maggio 2018 prevede che l'obbligo della nomina del Data Protection Officer (DPO), ovvero il responsabile della protezione dei dati personali. Si tratta di una figura nuova per l'Italia, ma già prevista e disciplinata in altri paesi UE e in particolare nel mondo anglosassane dove è meglio conosciuta come Chief Privacy Officer (CPO).
Privacy e protezione dei dati personali: il Regolamento UE 2016/679
Il diritto alla privacy è un diritto relativamente recente, nato infatti dalla necessità di vedere tutelata la riservatezza della propria vita e dei propri dati personali in un’epoca moderna nella quale sono sempre maggiori gli scambi e i rapporti di tipo commerciale ma anche sociale (si pensi ai social network).
Privacy e trattamento di dati genetici: trattamento e protezione.
Il Garante per la Protezione dei dati personali con autorizzazione 11 dicembre 2014 al trattamento dei dati genetici ha colto l’occasione per approfondire la relazione tra trattamento e protezione dei dati genetici. Ai sensi dell’art. 90 comma 2 del codice privacy “il trattamento dei dati genetici da chiunque effettuato è consentito nei soli casi previsti da apposita autorizzazione rilasciata dal Garante sentito il Ministro della salute che acquisisce a tal fine il parere del Consiglio superiore di sanità”. Il medesimo articolo individua anche gli ulteriori elementi da includere nell’informativa con particolare riguardo alla specificazione delle finalità perseguite e dei risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati e al diritto di opporsi al medesimo trattamento per motivi legittimi
PRIVACY e INFORMAZIONE. Diffusione dati personali eccedenti tratti da un interrogatorio.
Il Garante per la Protezione dei Dati Personali con delibera del 22 settembre 2014 emana un provvedimento di blocco e di prescrizione dei confronti di organi di informazione per la diffusione di dati personali eccedenti tratti da un interrogatorio. (Delibera n. 424). Gazzetta Ufficiale n. 233 del 07 ottobre 2014.
Privacy in materia di mobile remote payment: proroga termine.
Con Provvedimento del Garante sono state impartite prescrizioni ai diversi soggetti coinvolti nelle operazioni di pagamento tramite terminale mobile (fornitori di reti e servizi di comunicazione elettronica accessibili al pubblico, hub tecnologici e merchant), al fine digarantire il rispetto dei principi sanciti dal Codice in relazione al trattamento dei dati personali che gli utenti devono fornire per fruire dei nuovi servizi di pagamento per l'acquisto di prodotti e servizi digitali.
Telemarketing:Garante privacy e uso dei dati degli abbonati.
In concomitanza con l'entrata in funzione del Registro pubblico delle opposizioni, introdotto dalla recente normativa che ha modificato le regole del telemarketing, il Garante privacy ha fissato i limiti entro i quali gli operatori del settore potranno utilizzare i dati personali degli abbonati presenti negli elenchi telefonici per effettuare chiamate con operatore ai fini di invio di materiale pubblicitario, vendita diretta, ricerche o comunicazioni commerciali.