Arrivano le prime indicazioni ufficiali relative al nuovo Regolamento UE sulla Data Protection, che diverrà applicabile il 25 maggio 2018.
Gli argomenti sui quali sono stati rilasciati documenti da parte del gruppo di lavoro (organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali di ciascuno degli Stati membri, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione) sono:
- L’ Autorità capofila (“Lead Supervisory Authority”)
- la figura del Data Protection Officer (DPO)
- Il diritto alla portabilità dei dati
Le indicazioni (potete scaricare e consultare i documenti relativi qui: https://goo.gl/BOvzSl) permetteranno alle aziende di fare riferimento a fonti ufficiali nell’interpretare il regolamento e nel definire, di conseguenza, i modelli organizzativi da adottare.
L’ Autorità capofila (“Lead Supervisory Authority”)
Il WP29 fornisce indicazioni essenziali per l’individuazione dell’Autorità capofila (“Lead Supervisory Authority”) la quale sarà Responsabile delle attività relative al trattamento transfrontaliero dei dati e svolgerà un’azione di coordinamento con le altre Autorità interessate nel trattamento.
La sua individuazione dipenderà dall’identificazione dello stabilimento principale o dello stabilimento unico del Titolare o Responsabile del trattamento transfrontaliero.
Se non fosse possibile riconoscere lo stabilimento unico del Titolare, il WP29 ha individuato una serie di elementi utili all’individuazione dello stabilimento principale consultabili nei documenti ufficiali (https://goo.gl/BOvzSl) Nel caso in cui non possano essere applicati neanche gli elementi sopraccitati, sarà compito delle Autorità di controllo procedere all’individuazione dell’autorità capofila.
La figura del Data Protection Officer (DPO)
Il WP29 si è concentrato sulla figura del Data Protection Officer (Responsabile della Protezione dei dati), in particolare sui temi dell’obbligatorietà della nomina di tale figura e sulle mansioni della stessa.
Per quanto riguarda il primo punto, sono stati definiti i casi in cui la nomina del DPO debba essere obbligatoria, fermo restando che le singole organizzazioni potranno prevedere un Responsabile per la Protezione dei dati anche al di fuori di tali casi. (Se un’organizzazione non sia, ad esempio, un’”Autorità pubblica o organismo pubblico” (art. 37 co. I l.a) ma eserciti di fatto funzioni di natura pubblicistica, è buona prassi prevedere comunque la nomina di un DPO.)
Inoltre, il DPO non potrà rivestire, nell’azienda in cui svolge tale funzione, altri ruoli che gli consentano di stabilire i mezzi e le finalità di operazioni di trattamento dei dati.
Il diritto alla portabilità dei dati
Il diritto alla portabilità dei dati permette all’interessato di poter ricevere i propri dati personali (a condizione che si riferiscano e che siano stati forniti dallo stesso) e di ottenere la trasmissione diretta degli stessi da un Titolare del trattamento ad un altro o semplicemente per il loro riutilizzo. Tali dati comprendono anche quelli derivanti dall’utilizzo di servizi o di diversi device.
Il trattamento dei propri dati subirà, quindi, una notevole semplificazione consentendo inoltre all’interessato l’interessato di trasmettere i propri dati da un Titolare del trattamento ad un altro in modo più veloce ed efficace.
Come sempre sarà nostra premura pubblicare – appena disponibili – notizie di ulteriori indicazioni che possano pervenire dal gruppo di lavoro o da altri organi.
