Come già comunicato precedentemente, il 24 maggio 2016 è entrato in vigore il nuovo Regolamento Europeo per la protezione dei dati personali (Regolamento UE 2016/679) che, a partire dal 25 maggio 2018, sarà direttamente applicato in tutti i paesi dell’Unione Europea. In Italia il Regolamento andrà a sostituire l’attuale Codice della Privacy (D. Lgs. n. 196/2003).
Una delle novità introdotte dal Regolamento è la figura del “Responsabile della Protezione dei dati”, nota anche come “Data Protection Officer” (DPO). Figura nuova per il nostro paese, ma già presente da anni in altri paesi europei (ad esempio, in Germania).
Tralasciando il discorso dei soggetti pubblici (sempre obbligati a designare il DPO, tranne le autorità giurisdizionali quando esercitano le loro funzioni), nel “settore privato” quando è obbligatorio nominare il DPO?
– quando le attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
– quando consistono nel trattamento, su larga scala, di dati sensibili o giudiziari.
Il Regolamento (UE) 2016/679 ha introdotto inoltre l’obbligo di redazione e tenuta del Registro delle attività di trattamento svolte.
Detto onere, si applica in via generale alle imprese o organizzazioni sopra i 250 dipendenti, mentre per le imprese o organizzazioni con meno di 250 dipendenti l’obbligo vige solo qualora il trattamento dei dati personali che esse svolgono, presenti un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa il trattamento di particolari di dati (in cui rientrano i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) e i dati personali relativi a condanne penali e reati.
Il Registro deve essere tenuto in forma scritta, anche in formato elettronico, e deve essere esibito su richiesta del Garante per la protezione dei dati personali.
Ogni Titolare deve annotare nel Registro:
- il nome e i dati di contatto del Titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del Titolare del trattamento e del Responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Ogni Responsabile del trattamento deve invece annotare nel Registro le seguenti informazioni relative al trattamento svolto per conto di un Titolare del trattamento:
- il nome e i dati di contatto del Responsabile o dei Responsabili del trattamento, di ogni Titolare del trattamento per conto del quale agisce il Responsabile del trattamento, del rappresentante del Titolare del trattamento o del Responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
- le categorie dei trattamenti effettuati per conto di ogni Titolare del trattamento;
- ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
PERCHE’ E’ IMPORTANTE:
Il rispetto degli obblighi imposti dal Regolamento in tema di redazione e tenuta del Registro generale delle attività di trattamento svolte è importante perché l’eventuale violazione è punibile con sanzione amministrativa fino ai 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. Dette sanzioni pecuniarie possono essere inflitte in aggiunta alle sanzioni di cui all’art. 58, lett. da a) a h) e j) del Regolamento (avvertimenti, ammonimenti, ingiunzioni, limitazioni ai trattamenti, ordine di cancellazione, rettifica o limitazioni del trattamento, revoca della certificazione o ingiunzione all’Organismo certificatore di ritirare o non emettere la certificazione, ordine di sospensione dei flussi di dati verso un destinatario) o in luogo di tali misure, tenendo in considerazione diversi elementi.
Per ulteriori informazioni le imprese associate possono contattare l’Ufficio Ambiente, Qualità, Sicurezza e Privacy al numero 0542 619665.
