GDPR: arrivano i primi ricorsi in tutta Europa

GDPR

Il Regolamento UE/679/2016 (GDPR) è in vigore da poco più di una settimana e già diversi sono i ricorsi presentati alle autorità garanti europee.

Ciò è quanto emerge dalle dichiarazioni di Andrea Jelinek, membro alla guida delle autorità garanti dei 28 Stati facenti parte dell’Unione europea: il 25 Maggio 2018, noto a tutti come lo zero-day in materia di protezione delle persone fisiche nel trattamento e libera circolazione dei dati personali, oltre a segnare l’entrata in vigore del GDPR (General Data Protection Regulation) ha dato anche il “via” ai controlli e verifiche delle autorità competenti ad accertare il pieno adeguamento delle aziende ai requirements richiesti dalla novella normativa.

La maggior parte dei ricorsi riguarda difformità inerenti raccolta dei consensi e modalità di trattamento dei dati personali, non adempienti al GDPR.

Nonostante i diversi “alert” che hanno nel corso dei 2 anni di vacatio legis stimolato aggiornamenti al sistema di gestione privacy aziendale e nonostante la fresca entrata in vigore del Regolamento europeo, diversi sono i reclami giunti ai garanti nazionali per presunti “data breach”: la maggior parte di essi presentano difformità inerenti raccolta dei consensi e modalità di trattamento dei dati personali, non proprio “compliant” con quanto richiesto dal GDPR.

“Il consenso deve essere richiesto correttamente ed in modo comprensibile per l’interessato”

A tal proposito, lo stesso Jelinek (presidente del neonato European Data Protection Board) ha sottolineato come “il consenso al trattamento dei dati è lecito solo se richiesto correttamente ed in modo comprensibile per l’interessato”, aggiungendo, in merito allo specifico caso Facebook, che “non si può privare la gente dei servizi se non hanno espressamente previsto il consenso ad altri ed ulteriori servizi accessori, ma ciò deve essere valutato caso per caso”.

Oltre al caso di Cambridge analitica in UK, allo scandalo Coca Cola USA ed alle sanzioni del garante italiano che hanno colpito i colossi della telefonia Tim mobile e Fastweb, un altro caso è sottoposto alla valutazione dei garanti europei, a solo 5 giorni dall’entrata in vigore del Regolamento UE/679/2016: ciò è un monito non solo per le imprese multinazionali, ma anche per professionisti e PMI.

Verifiche e controlli non esenteranno nessun player di mercato: pertanto è importante prevedere e continuare ad operare un corretto adeguamento della normativa europea in ottica di non essere colti impreparati dalle successive consultazioni delle autorità garanti.

Read More

Il Data Protection Officer: obbligatorietà, compiti e requisiti

studio legale privacy

A poco meno di 3 mesi dall’entrata in vigore del Regolamento Europeo sulla Privacy (GDPR), ancora molte aziende e pubbliche amministrazioni sono impreparate nell’inquadrare all’interno della propria struttura la figura del Data Protection Officer.

La divisione di Privacy compliance dello Studio legale LA&P aiuta a riepilogare alcuni punti fondamentali inerenti l’obbligatorietà, i compiti ed i requisiti che deve possedere il DPO.

Obbligo di nomina

Secondo quanto disposto dal GDPR il DPO dovrà essere obbligatoriamente nominato da tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie. L’obbligo, inoltre, riguarderà anche tutti i soggetti (enti e imprese), che trattano dati sensibili su larga scala nello svolgimento delle loro attività, quali dati relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, ovvero che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Gruppi di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese, che, invece, non rientrano nelle categorie di obbligatorietà, potranno comunque decidere di dotarsi di un DPO: ciò, ovviamente, verrà valutato positivamente dall’Autorità in caso di accertamenti.

Compiti e funzioni del DPO

Compito principale del DPO, in qualità di collettore tra società ed Autorità garante della Privacy, sarà quello di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal GDPR e dalle altre disposizioni dell’UE, nonché dalle normative locali degli Stati membri relative alla protezione dei dati e dai provvedimenti dell’Autorità Garante. Dovrà, inoltre, verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit. Svolgerà altresì attività di pareristica in merito alla valutazione d’impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti. Al DPO possono essere conferiti ulteriori compiti e funzioni, salvo che non diano adito a un conflitto di interessi e che questi gli consentano di avere a disposizione il tempo sufficiente per l’espletamento dei compiti attribuiti dall’art. 39 del GDPR.

Requisiti

I titolari del trattamento devono designare come “data protection officer” un professionista che possiede una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente (DPO interno), oppure anche sulla base di un contratto di servizi (DPO esterno). E’ richiesto inoltre che il titolare metta a disposizione del DPO le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Si ricordi che, attualmente, non esistono titoli abilitanti o attestati formali che determinano l’idoneità o meno di un DPO. Ciò nonostante, eventuali certificazioni delle competenze professionali rilasciate da enti indipendenti di terza parte costituiscono un valido strumento ai fini della verifica del possesso di un livello di conoscenza della disciplina. Tali certificazioni sono sempre volontarie, e non sono mai obbligatorie per svolgere il ruolo di Data Protection Officer, sia che siano basate su schemi proprietari che su norme tecniche pubbliche.

Read More
Calendar
dicembre: 2018
L M M G V S D
« Giu    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
Social