Con il GDPR è arrivato il DPO
Vent’anni dopo l’emanazione della prima legge sul trattamento dei dati personali, avvenuta il 31 dicembre del 1996, l’ultimo giorno utile per recepire la Direttiva dell’Europa, il 4 maggio 2016, è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento Europeo n.679. Anche se al momento in Italia sul cosiddetto GDPR c’è ancora molta confusione è possibile soffermarsi sui principi presenti nella normativa.
Chi ha già dimestichezza con il trattamento dei dati personali potrà notare che spesso non si tratta di novità, ma della precisazione di principi che la giurisprudenza, nazionale ed europea, aveva già stabilito. Il Regolamento riguarda il trattamento dei dati personali operato da titolari di aziende stabilite in Europa, indipendentemente dal fatto che il trattamento sia effettuato all’interno dei confini europei. È quindi una Legge che in primo luogo difende i dati dei cittadini d’Europa e i dati presenti sul territorio dell’Unione. Non è un caso se Facebook nelle si è affrettato a spostare i dati di cittadini non europei memorizzati nei suoi server presenti sul nostro territorio: sarebbero stati sottoposti alle norme che, in questo momento, non è tra le più garantiste al mondo.
Cosa prevede il GDPR
Molto schematicamente il GDPR:
- riconosce il diritto all’oblio, cioè è la possibilità per l’interessato, ossia di colui che cede i suoi dati, di richiedere che siano cancellati e non sottoposti ulteriormente a trattamento i dati personali non più necessari per le finalità per le quali sono stati raccolti;
- l’interessato può in ogni momento revocare il consenso che aveva concesso, oppure opporsi al trattamento dei dati personali che lo riguardano quando non è in qualche modo conforme al Regolamento;
- stabilisce il diritto alla portabilità dei dati, in virtù del quale l’interessato ha il diritto di ricevere, in un formato strutturato e di uso comune e quindi facilmente leggibile da un comune computer, i dati personali che lo riguardano di cui abbia concesso l’uso o che siano generati dalla sua attività all’interno di un servizio come conseguenza di un contratto sottoscritto; l’utente ha il diritto di trasmettere i dati così ottenuti a una società diversa da quella che li aveva raccolti senza impedimenti;
- sancisce il principio di accountability, per cui il titolare dovrà dimostrare l’adozione di politiche sulla privacy e misure adeguate a difendere i dati dei suoi utenti;
- introduce il principio della privacy by design: è necessario mettere in atto misure tecniche e organizzative sia all’atto della progettazione sia dell’esecuzione del trattamento che siano effettivamente adeguate alla protezione dei dati;
- introduce il principio della privacy by default che ricorda il principio di necessità dell’attuale disciplina: i dati devono essere trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini; ogni ulteriore trattamento è da considerarsi illecito.
Chi è il Data Protection Officer
Oltre a stabilire i principi che abbiamo qui sopra elencati, il Regolamento ridisegna i poteri e le responsabilità delle figure implicate del trattamento, senza sostanzialmente stravolgerle e introduce una nuova figura: il Data Protection Officer (DPO), il Responsabile della protezione dei dati (RPD, l’acronimo in italiano adottato dal nostro Garante).
Il DPO deve essere obbligatoriamente presente all’interno di tutte le aziende pubbliche e le società private ove i trattamenti presentino specifici rischi, come per esempio le aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli interessati, su larga scala, e quelle che trattano i cosiddetti dati sensibili.
A titolo esemplificativo il Garante italiano indica questi soggetti: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; Caf e patronati; società operanti nel settore delle utility (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Attenzione però: l’elenco non è esaustivo e il Garante italiano nel suo sito ufficiale scrive che “resta comunque raccomandata, anche alla luce del principio di accountability che permea il Regolamento, la designazione di tale figura anche per i soggetti che non ne abbiamo un obbligo specifico”.
L’articolo completo è stato pubblicato su Sistemi&Impresa.
Per informazioni sull’acquisto di copie e abbonamenti scrivi a daniela.bobbiese@este.it (tel. 02.91434400)
Nato nel 1966, è professore associato di Filosofia del diritto all’Università di Milano-Bicocca, dove insegna anche Informatica giuridica (insegnamento che dal 2007 al 2012 ha ricoperto anche alla Statale di Milano). I suoi lavori principali riguardano lo studio della possibilità dell’uso di sistemi formali per l’espressione del diritto e l’ontologia degli oggetti sociali e immateriali. Dal 1999, si occupa di Informatica giuridica; in particolare ha dedicato alcuni saggi di carattere divulgativo all’idea di “openness” nell’ambito dell’ICT e, più recentemente, ha iniziato a occuparsi degli aspetti criminologici della sicurezza informatica; ha curato ed introdotto il manuale: Legal Informatics. Dal 2005 al 2009 ha diretto il corso di perfezionamento in Diritto delle nuove tecnologie, prima alla Statale di Milano e poi in Bicocca. Nel 2016 è tra i fondatori del BiS Lab – Bicocca Security Lab. Dirige ReF-Recensioni Filosofiche, la rivista italiana dedicata alla recensione di libri di filosofia.