Blog : regolamento sulla protezione dei dati personali

Il Data Protection Officer: le novità del nuovo Regolamento Europeo sulla Protezione dei Dati Personali

Il Data Protection Officer: le novità del nuovo Regolamento Europeo sulla Protezione dei Dati Personali

È stata ufficializzata, con il nuovo Regolamento sulla protezione dei dati personali, pubblicato in data 4 Maggio 2016, la figura del Data Protection Officer o Responsabile della Protezione dei Dati (qui di seguito DPO), il quale interesserà sia la Pubblica Amministrazione  sia gli operatori privati, in virtù del fatto che questo nuovo ruolo, in alcuni casi, dovrà necessariamente essere presente all’interno dei rispettivi organigrammi.

Professionista con ruolo aziendale (anche in outsourcing), il DPO deve necessariamente essere in possesso di competenze giuridiche, informatiche, di analisi dei rischi e dei processi; la sua nomina spetta al titolare od al responsabile del trattamento.

Al DPO spettano specifici compiti: informare e fornire consulenza al titolare, al responsabile del trattamento nonché ai dipendenti che effettuano tale trattamento così come stabilito dal nuovo Regolamento; vigilare affinché il Regolamento, le altre norme sia UE e sia degli Stati Membri in relazione alla protezione dei dati personali, siano osservati ed attuati; occuparsi della formazione del personale; fornire pareri riguardo l’impatto dei trattamenti di dati e verificarne lo svolgimento; collaborare con l’autorità di controllo, anche in merito a questioni connesse al trattamento e ad eventuali pareri. Sul DPO ricade l’obbligo di svolgere le proprie mansioni in totale riservatezza.

Di fondamentale importanza la distinzione fra la nomina del DPO nei casi di trattamento di dati personali effettuato dalla Pubblica Amministrazione dai casi in cui il trattamento sia svolto da operatori privati. Per ciò che riguarda la Pubblica Amministrazione (pubblica autorità o organismo pubblico), il DPO deve necessariamente essere designato dal titolare e dal responsabile del trattamento di dati personali ( con eccezione dei tribunali giudiziari nell’esercizio delle loro funzioni giurisdizionali). Con riferimento agli operatori privati, è necessario nominare il DPO unicamente nei casi in cui le attività principali del titolare o del responsabile del trattamento abbiano ad oggetto trattamenti che comportino un controllo continuo e sistematico degli interessati su larga scala e quando siano effettuati trattamenti, su larga scala, di categorie di dati particolari (opinione politica, origine razziale o etnica, appartenenze sindacali, convinzioni religiose o filosofiche, dati genetici o relativi all’orientamento sessuale) o di dati relativi a condanne penali. Infine, è doveroso sottolineare una delle condizioni fissate dal Regolamento circa la nomina del DPO, la quale prevede che quest’ultimo sia agevolmente raggiungibile da ogni stabilimento di un qualsiasi gruppo imprenditoriale.

Per saperne di più visitate il relativo articolo sul sito web di S News.

Diritto all’oblio e Business Information nel Nuovo Regolamento UE sulla protezione dei dati personali

Diritto all’oblio e Business Information nel Nuovo Regolamento UE sulla protezione dei dati personali

Il Nuovo Regolamento sulla protezione dei dati personali ha confermato il diritto all’oblio quale forma di garanzia della libertà e della dignità dell’individuo. E’ interessante esaminare i profili giuridici di tale diritto, alla luce della normativa oggi in vigore e quella europea, che sarà adottata nei prossimi due anni.

Già nel 2010 la Corte di Giustizia dell’Unione Europea affermò che i motori di ricerca sono tenuti al rispetto del diritto europeo anche nel caso in cui la loro sede si trovi in uno Stato terzo e che è sempre riconosciuto agli utenti il diritto di richiedere al motore di ricerca la cancellazione di dati personali, qualora questi risultino essere errati, inadeguati, insignificanti o eccessivi; pertanto ne consegue essere necessario un bilanciamento d’interessi, tra quelli dell’individuo e quelli relativi alla libertà d’espressione e dei media.

Alla luce del Nuovo Regolamento Europeo ed entrando più nel particolare, il diritto all’oblio prevede che l’interessato possa ottenere dal titolare la cancellazione dei propri dati personali nei casi in cui tali dati non appaiano più necessari, siano stati trattati illecitamente,  debbano essere eliminati per adempiere ad obblighi legali, ovvero l’interessato si opponga al trattamento, oppure abbia revocato il consenso.

D’altro canto, la rimozione non è prevista nel caso in cui i dati personali siano necessari a garantire la libertà di espressione e informazione, l’adempimento di un obbligo legale o la difesa di un diritto giudiziario, cosi come il pubblico interesse in materia sanitaria o a fini di pubblico interesse, di ricerca scientifica, statistica o storica. all’interessato, in presenza di inesattezze di dati personali o trattamenti illeciti, è riconosciuto il diritto di richiedere la rettifica e la limitazione del trattamento: In ogni caso, il titolare del trattamento ha l’obbligo di notificare l’interessato.

E’ importante focalizzare la questione inerente il diritto all’oblio, in quanto informazioni non più attuali  e prive di particolare interesse possono generare effetti “negativi” nel campo della business information (intesa come “fornitura di servizi informativi e/o valutativi che comportano la ricerca, la raccolta, l’elaborazione, l’analisi, anche mediante stime e giudizi, e la comunicazione di informazioni commerciali).

In proposito, il Garante Privacy  ha emanato il Codice di deontologia e buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale (Provvedimento Generale del Garante pubblicato in data 13 Ottobre 2015 – documento web 4298343) che entrerà in vigore a decorrere dal 1 Ottobre 2016.

Il codice di condotta individua gli ambiti oggettivi e soggettivi di applicazione: esso si applica esclusivamente alle informazioni commerciali riferite a persone fisiche ed acquisite da fonti pubbliche (pubblici registri, elenchi, atti o documenti come il registro delle imprese, bilanci ed elenchi dei soci, visure e/o atti catastali, atti relativi a fallimenti o altre procedure concorsuali, registro informatico dei protesti presso le camere di commercio) e fonti pubblicamente e generalmente accessibili (quotidiani e testate giornalistiche, elenchi categorici e telefonici, siti Internet che appartengono a enti pubblici, servizi online di elenchi telefonici e categorici).

Ciò che rileva è che il fornitore deve obbligatoriamente adottare misure idonee e preventive al fine di assicurarsi che l’informazione sia esatta e pertinente rispetto al fine perseguito, che sia riportata la specifica fonte di origine dei dati e che sia eseguito l’aggiornamento degli stessi dati nei propri rapporti informativi.

Per saperne di più visitate il relativo articolo sul sito web di S News.