A partire dal 25 maggio 2018 le aziende che operano nel settore privato dovranno nominare il loro “guardiano” che tuteli il trattamento dei dati personali. Di seguito tutte le novità.
Se hai un’azienda privata devi sapere che a partire dal 25 maggio 2018 dovrai assumere all’interno del tuo organico una nuova figura che svolgerà una funzione di controllo sul trattamento delle informazioni personali. Questo soggetto è il responsabile dei dati personali.
Questa è una delle più importanti novità introdotte dal regolamento europeo (UE) 2016/679 sulla data protection che entrerà in vigore a fine maggio e che modificherà in parte la normativa nazionale in materia di privacy.
Come ben sappiamo il regolamento europeo, a differenza della direttiva, è direttamente applicabile; ciò vuol dire che quando questo viene emanato deve essere applicato in tutti i suoi elementi nell’intera Unione europea.
Proprio per questo motivo, in previsione dell’entrata in vigore del regolamento europeo sulla data protection, il Garante della privacy ha voluto fornire delle indicazioni in modo da semplificare il lavoro alle imprese spiegando quali competenze dovrà avere il responsabile dei dati personali, quali compiti dovrà svolgere e altre informazioni utili relative alla nomina di questa figura.
Chi è il responsabile dei dati personali?
Il responsabile dei dati personali, come abbiamo appena accennato, è una figura prevista dal regolamento europeo sulla data protection. Tale soggetto coopera con l’Autorità garante e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.
Il responsabile dei dati personali - che a partire dal 25 maggio dovrà essere nominato dalle aziende private - per essere designato non ha bisogno di nessuna abilitazione o di particolari titoli di studio.
È importante però che questa figura abbia un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Per svolgere al meglio i suoi compiti il responsabile dei dati dovrà essere totalmente indipendente ed autonomo e dovrà inoltre avere a disposizione le risorse necessarie.
Il responsabile dei dati personali deve essere designato o da aziende e professionisti per quanto riguarda l’ambito privato o da un organismo pubblico.
Chi può ricoprire questo ruolo?
Il ruolo di responsabile dei dati personali può essere ricoperto da:
- un dipendente che conosce la realtà operativa in cui avvengono i trattamenti;
- un soggetto esterno.
Il Garante della privacy ha spiegato che “il responsabile della protezione dei dati scelto all’interno dell’azienda dovrà essere nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi.”
Questi atti, redatti in forma scritta, dovranno contenere le seguenti indicazioni:
- i compiti che dovrà svolgere il responsabile dei dati;
- le risorse che gli vengono assegnate per lo svolgimento delle sue funzioni;
- ogni altra informazione utile in rapporto al contesto di riferimento.
Per svolgere i compiti che gli sono stati assegnati, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere un adeguato supporto in termini di risorse finanziarie, infrastrutturali e di personale.
Per chi è obbligatorio?
I soggetti che nell’ambito privato sono obbligati a nominare il responsabile dei dati sono:
- istituti di credito;
- imprese assicurative;
- sistemi di informazione creditizia;
- società finanziarie;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- partiti e movimenti politici;
- sindacati;
- caf e patronati;
- società operanti nel settore delle «utilities» (telecomunicazioni, distribuzione di energia elettrica o gas);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
- società di call center;
- società che forniscono servizi informatici;
- società che erogano servizi televisivi a pagamento.
Non sono invece obbligati a nominare un responsabile dei dati i seguenti soggetti:
- liberi professionisti operanti in forma individuale;
- agenti, rappresentanti e mediatori operanti non su larga scala;
- imprese individuali o familiari;
- piccole e medie imprese.
Compatibilità con altri incarichi
In linea di massima il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi purché non ci sia conflitto di interessi.
Viene spiegato che è preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione come ad esempio l’amministratore delegato, il membro del consiglio d’amministrazione e il direttore generale.
© RIPRODUZIONE RISERVATA