1. DESIGNARE UN DPO/RPD
PER LA MIA AZIENDA???
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa autorizzazione.
Le informazioni qui contenute hanno esclusivamente scopo informativo, possono essere
modificate o rimosse in qualsiasi momento, e comunque in nessun caso possono costituire
la formulazione di un parere o la consulenza del legale. Le informazioni contenute non
intendono e non devono in alcun modo sostituire il rapporto diretto professionista-cliente o
la consulenza specialistica. Si raccomanda di chiedere sempre il parere del proprio
avvocato e/o di specialisti riguardo qualsiasi attività da intraprendere in ambito GDPR.
Studio Legale
Avv. Pietro Bilotta
pietro.bilotta@avvlamezia.legalmail.it
2. CHI È IL DPO/RPD
Il DPO, Data Protection Officer o meglio RPD, Responsabile della
Protezione dei Dati, è la nuova figura professionale introdotta dal
GDPR 2016/679 regolamento dell'Unione europea in materia di
trattamento dei dati personali e di privacy, è un consulente
tecnico e legale, indipendente e di garanzia, che lavora a
stretto contatto con il titolare del trattamento e anello di
contatto con l’autorità Garante per ogni questione relativa al
trattamento dei dati personali.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa autorizzazione. Le informazioni qui contenute hanno esclusivamente scopo informativo, possono essere
modificate o rimosse in qualsiasi momento, e comunque in nessun caso possono costituire la formulazione di un parere o la consulenza del legale. Le informazioni contenute non
intendono e non devono in alcun modo sostituire il rapporto diretto professionista-cliente o la consulenza specialistica. Si raccomanda di chiedere sempre il parere del proprio
avvocato e/o di specialisti riguardo qualsiasi indicazione riportata.
Studio Legale
Avv. Pietro Bilotta
pietro.bilotta@avvlamezia.legalmail.it
3. In primis, un'approfondita conoscenza della normativa e delle prassi in materia
di privacy e del Regolamento UE 2016/679, con il grado di professionalità
adeguato alla complessità del compito da svolgere.
Deve poter offrire la consulenza necessaria per progettare, verificare e
mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il
titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie
adeguate al contesto in cui è chiamato a operare.
I REQUISITI DEL DPO/RPD
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa autorizzazione. Le informazioni qui contenute hanno esclusivamente scopo informativo, possono essere
modificate o rimosse in qualsiasi momento, e comunque in nessun caso possono costituire la formulazione di un parere o la consulenza del legale. Le informazioni contenute non
intendono e non devono in alcun modo sostituire il rapporto diretto professionista-cliente o la consulenza specialistica. Si raccomanda di chiedere sempre il parere del proprio
avvocato e/o di specialisti riguardo qualsiasi indicazione riportata.
Studio Legale
Avv. Pietro Bilotta
pietro.bilotta@avvlamezia.legalmail.it
4. ..segue..
Deve decidere e agire in piena indipendenza (considerando 97 del
Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e
riferendo direttamente ai vertici (Titolare e Responsabile) .
L’RPD deve poter disporre, infine, di risorse (personale, locali, attrezzature,
ecc.) necessarie per l'espletamento dei propri compiti.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa autorizzazione. Le informazioni qui contenute hanno esclusivamente scopo informativo, possono essere
modificate o rimosse in qualsiasi momento, e comunque in nessun caso possono costituire la formulazione di un parere o la consulenza del legale. Le informazioni contenute non
intendono e non devono in alcun modo sostituire il rapporto diretto professionista-cliente o la consulenza specialistica. Si raccomanda di chiedere sempre il parere del proprio
avvocato e/o di specialisti riguardo qualsiasi indicazione riportata.
Studio Legale
Avv. Pietro Bilotta
pietro.bilotta@avvlamezia.legalmail.it
5. Le attività del DPO/RPD sono sintetizzabili in tre macroaree ossia:
formazione/informazione (è riconducibile a una funzione essenzialmente
consulenziale, ma non solo), sorveglianza/monitoraggio (svolgere infatti un
controllo sull'applicazione della normativa, con verifiche programmate in cui è
più spiccato, da un lato, l'approccio proattivo e dall’altro la natura relazionale
dell'attività del DPO), collaborazione/contatto (il professionista deve interloquire
con i livelli apicali ed essere tempestivamente e adeguatamente coinvolto in
tutte le questioni riguardanti la protezione dei dati personali).
I COMPITI DEL DPO/RPD
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa autorizzazione. Le informazioni qui contenute hanno esclusivamente scopo informativo, possono essere
modificate o rimosse in qualsiasi momento, e comunque in nessun caso possono costituire la formulazione di un parere o la consulenza del legale. Le informazioni contenute non
intendono e non devono in alcun modo sostituire il rapporto diretto professionista-cliente o la consulenza specialistica. Si raccomanda di chiedere sempre il parere del proprio
avvocato e/o di specialisti riguardo qualsiasi indicazione riportata.
Studio Legale
Avv. Pietro Bilotta
pietro.bilotta@avvlamezia.legalmail.it
6. PRIVACY BY DESIGN???
Il cd. principio di data protection-by-design delineato nel Regolamento, si applica ai
titolari che intendano progettare processi e servizi che implichino il trattamento di dati
personali. Il GDPR, infatti, obbliga i titolari del trattamento all'implementazione non solo
di misure di sicurezza tecniche volte a proteggere il trattamento dei dati personali dai
rischi derivanti dall'utilizzo di infrastrutture informatiche ma ad attribuire rilevanza fattiva
alle norme del Regolamento in tutte le fasi del trattamento.
L’applicazione del principio di data protection-by-design, da parte del titolare è volto a
dimostrare la costante attenzione riservata al rispetto delle norme del Regolamento
come principale parametro di valutazione della sua conformità per quanto riguarda la
creazione di prodotti e servizi.
Studio Legale
Avv. Pietro Bilotta
pietro.bilotta@avvlamezia.legalmail.it
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa autorizzazione. Le informazioni qui contenute hanno esclusivamente scopo informativo, possono essere
modificate o rimosse in qualsiasi momento, e comunque in nessun caso possono costituire la formulazione di un parere o la consulenza del legale. Le informazioni contenute non
intendono e non devono in alcun modo sostituire il rapporto diretto professionista-cliente o la consulenza specialistica. Si raccomanda di chiedere sempre il parere del proprio
avvocato e/o di specialisti riguardo qualsiasi indicazione riportata.
7. PRIVACY BY DEFAULT???
Il “privacy by default” consiste nel rispetto del principio di minimizzazione ab origine a
garanzia della protezione del dato come implicita nel funzionamento stesso del sistema sul
quale tale dato viene trattato. Tale concetto è ulteriormente sottolineato dal principio
“privacy insita nel sistema” in quanto ciò implica l'inscindibilità della protezione del dato dal
sistema che lo tratta.
Studio Legale
Avv. Pietro Bilotta
pietro.bilotta@avvlamezia.legalmail.it
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa autorizzazione. Le informazioni qui contenute hanno esclusivamente scopo informativo, possono essere
modificate o rimosse in qualsiasi momento, e comunque in nessun caso possono costituire la formulazione di un parere o la consulenza del legale. Le informazioni contenute non
intendono e non devono in alcun modo sostituire il rapporto diretto professionista-cliente o la consulenza specialistica. Si raccomanda di chiedere sempre il parere del proprio
avvocato e/o di specialisti riguardo qualsiasi indicazione riportata.
8. Si.
Un'ulteriore misura organizzativa consiste nella nomina del DPO (data
protection officer).
Il quale svolgere compiti di controllo e verifica dell'applicazione dei principi
e delle norme del GDPR.
Tra le sue funzioni vi è anche quella di garantire l'implementazione dei
principi di data protection-by-design, essendo coinvolto nelle fasi di
progettazione di servizi, prodotti e processi e potendo con la sua
competenza agevolmente consigliare il Titolare relativamente al rispetto
dei principi suddetti.
MI SERVE UN DPO???
Studio Legale
Avv. Pietro Bilotta
pietro.bilotta@avvlamezia.legalmail.it
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa autorizzazione. Le informazioni qui contenute hanno esclusivamente scopo informativo, possono essere
modificate o rimosse in qualsiasi momento, e comunque in nessun caso possono costituire la formulazione di un parere o la consulenza del legale. Le informazioni contenute non
intendono e non devono in alcun modo sostituire il rapporto diretto professionista-cliente o la consulenza specialistica. Si raccomanda di chiedere sempre il parere del proprio
avvocato e/o di specialisti riguardo qualsiasi indicazione riportata.
9. La designazione del DPO è obbligatoria, per i privati, quando ricorrono una delle seguenti
circostanze:
a) le attività principali consistono nel monitoraggio regolare e sistematico degli interessati
su larga scala;
b) le attività principali riguardano il trattamento di dati sensibili o giudiziari su larga scala.
Le due ipotesi contengono due elementi comuni, dirimenti, il concetto di attività principali
e quello di larga scala, che richiedono precisazione
PS. I soggetti pubblici sono sempre tenuti a nominare il DPO, con la sola eccezione degli uffici giudiziari
nell'esercizio delle funzioni giurisdizionali.
È OBBLIGATORIO NOMINARE IL
DPO/RPD
Studio Legale
Avv. Pietro Bilotta
pietro.bilotta@avvlamezia.legalmail.it
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa autorizzazione. Le informazioni qui contenute hanno esclusivamente scopo informativo, possono essere
modificate o rimosse in qualsiasi momento, e comunque in nessun caso possono costituire la formulazione di un parere o la consulenza del legale. Le informazioni contenute non
intendono e non devono in alcun modo sostituire il rapporto diretto professionista-cliente o la consulenza specialistica. Si raccomanda di chiedere sempre il parere del proprio
avvocato e/o di specialisti riguardo qualsiasi indicazione riportata.
10. Le due ipotesi contengono due elementi comuni, ovvero il concetto di attività principali e quello
di larga scala.
Una definizione ampiamente condivisa è quella del considerando 97 GDPR. che traccia la base
delle attività primarie svolte dal titolare o responsabile del trattamento non rileva che tali
attività consistano direttamente nel trattamento di dati sensibili o giudiziari, rileva invece
che il trattamento di queste categorie di dati personali sia implicito in esse.
Il concetto di larga scala costituisce uno dei più criptici della disciplina. Il considerando 91 GDPR
lo definisce come il trattamento diretto di «una notevole quantità di dati personali a livello
regionale, nazionale o sovranazionale e — che potrebbero incidere su un vasto numero di
interessati e — che potenzialmente presentano un rischio elevato, ad esempio, data la loro
sensibilità», parametro che troviamo nell'istituto della valutazione d'impatto (DPIA).
Studio Legale
Avv. Pietro Bilotta
pietro.bilotta@avvlamezia.legalmail.it
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa autorizzazione. Le informazioni qui contenute hanno esclusivamente scopo informativo, possono essere
modificate o rimosse in qualsiasi momento, e comunque in nessun caso possono costituire la formulazione di un parere o la consulenza del legale. Le informazioni contenute non
intendono e non devono in alcun modo sostituire il rapporto diretto professionista-cliente o la consulenza specialistica. Si raccomanda di chiedere sempre il parere del proprio
avvocato e/o di specialisti riguardo qualsiasi indicazione riportata.
11. La protezione dei dati personali deve essere tenuta in considerazione durante tutto
l’intero ciclo di vita della tecnologia attraverso la quale questi vengono gestiti, trattati
e conservati, dalla fase di progettazione sino all’utilizzo e/o
all’eliminazione/cancellazione dai database.
LA PROTEZIONE DEI DATI ???
QUALI DATI???
Studio Legale
Avv. Pietro Bilotta
pietro.bilotta@avvlamezia.legalmail.it
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa autorizzazione. Le informazioni qui contenute hanno esclusivamente scopo informativo, possono essere
modificate o rimosse in qualsiasi momento, e comunque in nessun caso possono costituire la formulazione di un parere o la consulenza del legale. Le informazioni contenute non
intendono e non devono in alcun modo sostituire il rapporto diretto professionista-cliente o la consulenza specialistica. Si raccomanda di chiedere sempre il parere del proprio
avvocato e/o di specialisti riguardo qualsiasi indicazione riportata.