GDPR - Responsabile per la Protezione dei Dati - DPO/RPD

Qualora l’elaborazione sia effettuata da un’autorità pubblica, fatto salvo per le corti o le autorità giudiziarie indipendenti agenti nella loro competenza giudiziaria, o qualora, nel settore privato, l’elaborazione sia effettuata da un controllore le cui attività principali consistono di operazioni di elaborazione che richiedono un monitoraggio regolare e sistematico dei soggetti dei dati, una persona esperta di legislazione e pratiche relative alla protezione dei dati deve assistere colui che li controlla o li gestisce al fine di verificare l’osservanza interna al regolamento. Il responsabile per la protezione dei dati è una figura simile, ma non identica, al preposto all’osservanza, in quanto ci si aspetta che il primo abbia una buona padronanza dei processi informatici, della sicurezza dei dati (inclusa la gestione dei ciber-attacchi) e di altre questioni di coerenza aziendale riguardanti il mantenimento e l’elaborazione di dati personali e sensibili. Ricorda molto l’Odv (organismo di vigilanza) della legge n. 231 del 2001 sulla responsabilità penale delle persone giuridiche e il responsabile anticorruzioni per la sua autonomia, indipendenza e assenza di conflitti di interesse. L’insieme di competenze richieste si estende al di là della comprensione dell’osservanza legale di leggi e regolamenti sulla protezione dei dati e comporterà una grande preparazione e professionalità. Il monitoraggio dei Data protection office sarà onere del regolatore e non del consiglio di amministrazione dell’organizzazione che assume il funzionario. La nomina di un responsabile per la protezione dei dati all’interno di una grande organizzazione rappresenterà una sfida sia per il consiglio di amministrazione, sia per lo stesso responsabile. Considerati lo scopo e la natura della nomina, sono in gioco una miriade di questioni legate alla governance e a fattori umani che le organizzazioni e le aziende dovranno affrontare. Inoltre, chi detiene l’incarico dovrà creare un proprio team di supporto e sarà anche responsabile del proprio sviluppo professionale continuativo, dal momento che, come “mini-regolatore” ad ogni effetto, dovrà essere indipendente.

Misure tecniche suggerite

Le misure per garantire la sicurezza dei dati personali sono presentate nell’art. 32:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Il responsabile e il titolare del trattamento hanno l’onere di dimostrare la conformità dei sistemi al regolamento europeo. Possono aderire a codici di condotta, oppure della certificazione di conformità. La certificazione non riduce la responsabilità del titolare del trattamento o del responsabile, né i poteri e compiti delle authority (art. 42, par. 4), ed ha durata massima di cinque anni (art. 43, par.4)

Codici di condotta e Certificazione

Associazioni o altri organismi di categoria, possono elaborare un codice di condotta cui i membri aderiscono su base volontaria.

Il codice di condotta deve preventivamente essere approvato dall’authority, ed è specificamente previsto che sia registrato e pubblicamente accessibile (art. 40, par. 6). Se il trattamento interessa più di uno Stato membro, il codice è sottoposto all’approvazione di un comitato di coordinamento delle authority dei Paesi coinvolti.

L’authority accredita e revoca gli organismi che possono verificare la conformità dei sistemi di trattamento dei dati personali ai codici di condotta. La valutazione rileva grado di competenza, grado di indipendenza, e assenza di conflitti di interessifatti salvi i compiti e i poteri dell’autorità di controllo competente di intervento diretto (art. 41, parr. 1 e 4).

L’authority e un organismo nazionale di certificazione hanno il compito di accreditare o revocare gli organismi di certificazione che verificano la conformità del trattamento dei dati personali al regolamento europeo. I requisiti sono i medesimi previsti per gli organismi che esercitano il controllo di conformità del codice di condotta al regolamento.

Fonte Wikipedia
CATEGORIE DEGLI ARTICOLI

CONTATTI

Condividi