Il	
   Privacy	
   Officer:	
   questo	
  
sconosciuto.	
  

Avv. Prof. Aggr. Pierluigi Perri

Titolo	
  della	
  presentazi...
About	
  me	
  
• 
• 
• 
• 
• 
• 

Avvocato;	
  
Ricercatore	
  universitario	
  presso	
  l’Università	
  degli	
  Studi	...
Agenda	
  
•  Privacy	
  Officer:	
  definizione	
  
	
  
•  L’esperienza	
  del	
  Privacy	
  Officer	
  all’estero	
  
•  La	...
Privacy	
  Officer:	
  definizione	
  

•  Il	
   Privacy	
   Officer	
   è	
   quel	
   professionista,	
   interno	
   o	
   ...
Pun@	
  rilevan@	
  

•  Professionista	
   -­‐>	
   perché	
   si	
   possa	
   parlare	
   di	
   Privacy	
   Officer	
   ...
Differen@	
  acronimi	
  per	
  indicare	
  il	
  Privacy	
  Officer	
  
•  A	
  seconda	
  del	
  contesto	
  di	
  riferime...
Applicazioni	
  già	
  esisten@	
  del	
  Privacy	
  Officer:	
  USA	
  
•  Negli	
  USA,	
  alcuni	
  tes=	
  di	
  legge	
...
Applicazioni	
  già	
  esisten@	
  del	
  Privacy	
  Officer:	
  Germania	
  
•  Primo	
  Paese	
  europeo	
  nel	
  quale	
...
Uno	
  speIro	
  si	
  aggira	
  per	
  l’Europa?	
  
•  Il	
   25	
   gennaio	
   2012	
   è	
   stata	
   depositata,	
 ...
Regolamento	
  vs.	
  DireNva	
  

•  Regolamento	
  -­‐>	
  	
  è	
  un	
  aAo	
  legisla=vo	
  vincolante.	
  Deve	
  es...
Il	
  Data	
  Protec@on	
  Officer	
  (DPO)	
  nella	
  bozza	
  di	
  Regolamento	
  
•  L’ar=colo	
   35	
   della	
   boz...
Quando	
  designarlo?	
  

•  Il	
   responsabile	
   del	
   tra/amento	
   e	
   l’incaricato	
   del	
   tra/amento	
  ...
Definizioni	
  
•  (5)	
  “responsabile	
  del	
  tra/amento”:	
  la	
  persona	
  fisica	
  o	
  giuridica,	
  l’autorità	
...
Definizioni	
  ex	
  D.Lgs.	
  196/03	
  
•  f)	
   "4tolare",	
   la	
   persona	
   fisica,	
   la	
   persona	
   giuridi...
Per	
  quanto	
  tempo?	
  

•  Il	
   responsabile	
   del	
   tra/amento	
   o	
   l’incaricato	
   del	
   tra/amento	
...
Breaking	
  news!	
  
•  La	
  parte	
  rela=va	
  ai	
  criteri	
  quan=ta=vi	
  è	
  stata	
  oggeAo	
  di	
  modifiche	
...
Gruppi	
  di	
  imprese	
  ed	
  en@	
  pubblici	
  

•  Si	
   può	
   designare	
   un	
   unico	
   Responsabile	
   de...
CaraIeris@che	
  del	
  Responsabile	
  della	
  protezione	
  dei	
  da@	
  
•  Il	
   responsabile	
   del	
   tra/ament...
Chi	
  ci	
  ricorda?	
  
• 
• 

Art.	
  29	
  D.Lgs.	
  196/03	
  
2.	
  Se	
  designato,	
  il	
  responsabile	
  è	
  i...
Pun@	
  sui	
  quali	
  il	
  DPO	
  dovrà	
  prestare	
  idonea	
  garanzia	
  
• 

Provvedimen=	
  del	
  Garante	
  

•...
Incompa@bilità	
  

•  Il	
   responsabile	
   del	
   tra/amento	
   o	
   l’incaricato	
   del	
   tra/amento	
   si	
  ...
Esterno	
  o	
  interno?	
  

•  Il	
   responsabile	
   della	
   protezione	
   dei	
   da4	
   può	
   essere	
   assun...
Pubblicità	
  e	
  riscontro	
  agli	
  interessa@	
  
•  Il	
   responsabile	
   del	
   tra/amento	
   o	
   l’incaricat...
Coinvolgimento	
  
•  Il	
   responsabile	
   del	
   tra/amento	
   o	
   l’incaricato	
   del	
   tra/amento	
   si	
   ...
Indipendenza	
  e	
  autonomia	
  

•  Il	
   responsabile	
   del	
   tra/amento	
   o	
   l’incaricato	
   del	
   tra/a...
Risorse	
  
•  Il	
   responsabile	
   del	
   tra/amento	
   o	
   l’incaricato	
   del	
   tra/amento	
   sos4ene	
   il...
Compi@	
  “minimi”	
  del	
  Responsabile	
  della	
  protezione	
  dei	
  da@	
  
•  Il	
  Responsabile	
  della	
  prote...
Compi@	
  “minimi”	
  del	
  Responsabile	
  della	
  protezione	
  dei	
  
da@	
  /2	
  
–  garan=re	
  la	
  conservazio...
Documentazione	
  di	
  cui	
  all’art.	
  28?	
  
• 
• 

Ogni	
   responsabile	
   del	
   tra/amento,	
   incaricato	
  ...
In	
  principio	
  fu	
  il	
  DPS	
  
• 
• 
• 
• 
• 
• 

• 
• 

19.1.	
  l'elenco	
  dei	
  traAamen=	
  di	
  da=	
  per...
Quindi…	
  

•  Prima	
   facie,	
   il	
   Regolamento	
   imporrebbe	
   nuovamente	
   un	
   obbligo	
  
documentale	
...
Sanzioni	
  

•  La	
  bozza	
  di	
  Regolamento	
  prevede	
  una	
  sanzione,	
  da	
  irrogarsi	
  da	
  parte	
  del	...
Grazie	
  per	
  l’aIenzione!	
  

	
  
Avv.	
  Prof.	
  Aggr.	
  Pierluigi	
  Perri	
  
e-­‐mail(s):	
  pierluigi.perri_a...
Upcoming SlideShare
Loading in …5
×

Smau milano 2013 pierluigi perri

373 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
373
On SlideShare
0
From Embeds
0
Number of Embeds
113
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smau milano 2013 pierluigi perri

  1. 1. Il   Privacy   Officer:   questo   sconosciuto.   Avv. Prof. Aggr. Pierluigi Perri Titolo  della  presentazione  
  2. 2. About  me   •  •  •  •  •  •  Avvocato;   Ricercatore  universitario  presso  l’Università  degli  Studi  di  Milano;   Professore  aggregato  di  Informa=ca  Giuridica  Avanzata;   DoAore  di  ricerca  in  Informa=ca  Giuridica  e  DiriAo  dell’informa=ca;   Membro  del  comitato  scien=fico  di  IISFA  e  AIPSI;   Ecc.  ecc.  ecc.  (per  maggiori  informazioni  cercatemi  su  LinkedIn)   Titolo  della  presentazione  
  3. 3. Agenda   •  Privacy  Officer:  definizione     •  L’esperienza  del  Privacy  Officer  all’estero   •  La  discussione  in  aAo  in  sede  europea     •  Gli  ul=mi  sviluppi   •  Raffronto  con  la  norma=va  nazionale  in  materia  di  privacy   Titolo  della  presentazione  
  4. 4. Privacy  Officer:  definizione   •  Il   Privacy   Officer   è   quel   professionista,   interno   o   esterno   a   una   determinata   struAura,   che   ha   il   compito   di   sovrintendere   a   tuT   i   processi   che  riguardano  il  traAamento  dei  da=  personali  compiu=  all’interno  della   stessa,   intervenendo   in   piena   indipendenza   e   autonomia   qualora   individui   problemi   che   potrebbero   comportare   un   traAamento   dei   da=   che   presen=   rischi   di   distruzione   o   perdita,   anche   accidentale,   dei   da=   stessi,   di   accesso   non   autorizzato   o   di   traAamento   non   consen=to   o   non   conforme  alle  finalità  della  raccolta.   Titolo  della  presentazione  
  5. 5. Pun@  rilevan@   •  Professionista   -­‐>   perché   si   possa   parlare   di   Privacy   Officer   bisogna   far   riferimento  a  figure  professionali,  al  pari  dell’amministratore  di  sistema.   •  Interno  o  esterno  -­‐>  il  Privacy  Officer  può  essere  sia  un  soggeAo  interno  sia  un   soggeAo  esterno  alla  struAura.   •  Sovrintendere   -­‐>   il   Privacy   Officer   deve   possedere   competenze   trasversali   ai   vari   campi   del   sapere   interessa=   dalle   norme   sulla   privacy,   prime   fra   tuAe   il   diriAo  e  l’informa=ca.   •  Intervenendo  in  piena  indipendenza  e  autonomia  -­‐>  il  Privacy  Officer  non  può   essere   solo   un   “parafulmine”   ma   deve   avere   sia   autonomia   di   azione   sia,   in   certa  misura,  patrimoniale.     Titolo  della  presentazione  
  6. 6. Differen@  acronimi  per  indicare  il  Privacy  Officer   •  A  seconda  del  contesto  di  riferimento  potremo  dis=nguere:   –  DPO  (Data  Protec=on  Officer)   –  CPO  (Chief  Privacy  Officer)   –  PO  (Privacy  Officer)   –  [ITA]  Responsabile  della  protezione  dei  da=   Titolo  della  presentazione  
  7. 7. Applicazioni  già  esisten@  del  Privacy  Officer:  USA   •  Negli  USA,  alcuni  tes=  di  legge  prevedono  espressamente  l’indicazione  di   un  Privacy  Officer.   •  Il  testo  cardine  in  tal  senso  è  l’HIPAA  (Health  Insurance  Portability  and   Accountability  Act).   •  Il  ruolo  del  Privacy  Officer  ex  HIPAA,  quindi,  è  streAamente  legato  al   traAamento  delle  PHI  (Protected  Health  Informa=on).   Titolo  della  presentazione  
  8. 8. Applicazioni  già  esisten@  del  Privacy  Officer:  Germania   •  Primo  Paese  europeo  nel  quale  si  is=tuisce  la  figura  del  Privacy  Officer.   •  Il   BDSG   richiede   la   cos=tuzione   di   un   Privacy   Officer   in   caso   la   struAura   presen=  dieci  o  più  dipenden=  che  si  occupano  di  traAamento  automa=zzato   di  da=  personali.   •  In  caso  di  traAamento  non  automa=zzato,  la  struAura  dovrà  presentare  ven=   o  più  dipenden=  dedi=  al  traAamento  di  da=  personali.   •  In  caso  non  venga  nominata  tale  figura,  la  sanzione  può  essere  fino  a  50.000   euro  per  ogni  singolo  manager  che  abbia  omesso  di  nominarlo.   •  Deve  svolgere  i  propri  compi=  con  indipendenza  e  autonomia.   •  Deve  potersi  aggiornare  a  spese  del  datore  di  lavoro.   Titolo  della  presentazione  
  9. 9. Uno  speIro  si  aggira  per  l’Europa?   •  Il   25   gennaio   2012   è   stata   depositata,   da   parte   della   Commissione   Europea,   la   bozza   del   nuovo   Regolamento   per   il   traAamento   dei   da=   personali  che  avrà  immediata  efficacia  all’interno  dei  Paesi  UE.   •  Questo  Regolamento  è  aAualmente  in  discussione.   •  Andrà  a  sos=tuire  la  DireTva  95/46/CE.   Titolo  della  presentazione  
  10. 10. Regolamento  vs.  DireNva   •  Regolamento  -­‐>    è  un  aAo  legisla=vo  vincolante.  Deve  essere  applicato  in   tuT  i  suoi  elemen=  nell'intera  Unione  europea  (es.  il  DOP).   •  DireNva   -­‐>   è   un   aAo   legisla=vo   che   stabilisce   un   obieTvo   che   tuT   i   paesi   dell'UE   devono   realizzare.   Ciascuno   Stato   membro   può   però   decidere   come  procedere.   Titolo  della  presentazione  
  11. 11. Il  Data  Protec@on  Officer  (DPO)  nella  bozza  di  Regolamento   •  L’ar=colo   35   della   bozza   di   Regolamento   introduce   la   figura   obbligatoria   del   responsabile   della   protezione   dei   da=   per   il   seAore   pubblico   e,   nel   seAore   privato,   per   le   grandi   imprese   o   allorquando   le   aTvità   principali   del   responsabile   del   traAamento   e   dell’incaricato   del   traAamento   consistono  in  traAamen=  che  richiedono  il  controllo  regolare  e  sistema=co   degli  interessa=.   •  L’ar=colo  36  precisa  la  posizione  del  responsabile  della  protezione  dei  da=.   •  L’ar=colo   37   stabilisce   i   principali   compi=   del   responsabile   della   protezione  dei  da=.   Titolo  della  presentazione  
  12. 12. Quando  designarlo?   •  Il   responsabile   del   tra/amento   e   l’incaricato   del   tra/amento   designano   sistema4camente  un  responsabile  della  protezione  dei  da4  quando:   –  a)   il   tra/amento   è   effe/uato   da   un’autorità   pubblica   o   da   un   organismo   pubblico,  oppure   –  b)  il  tra/amento  è  effe/uato  da  un’impresa  con  250  o  più  dipenden4,  oppure   –  c)   le   aBvità   principali   del   responsabile   del   tra/amento   o   dell’incaricato   del   tra/amento   consistono   in   tra/amen4   che,   per   la   loro   natura,   il   loro   ogge/o   o   le  loro  finalità,  richiedono  il  controllo  regolare  e  sistema4co  degli  interessa4.   Titolo  della  presentazione  
  13. 13. Definizioni   •  (5)  “responsabile  del  tra/amento”:  la  persona  fisica  o  giuridica,  l’autorità   pubblica,   il   servizio   o   qualsiasi   altro   organismo   che,   singolarmente   o   insieme   ad   altri,   determina   le   finalità,   le   condizioni   e   i   mezzi   del   tra/amento   di   da4   personali;   quando   le   finalità,   le   condizioni   e   i   mezzi   del   tra/amento   sono   determina4   dal   diri/o   dell’Unione   o   dal   diri/o   di   uno   Stato  membro,  il  responsabile  del  tra/amento  o  i  criteri  specifici  applicabili   alla   sua   nomina   possono   essere   designa4   dal   diri/o   dell’Unione   o   dal   diri/o  dello  Stato  membro;   •  (6)   “incaricato   del   tra/amento”:   la   persona   fisica   o   giuridica,   l’autorità   pubblica,  il  servizio  o  qualsiasi  altro  organismo  che  elabora  da4  personali   per  conto  del  responsabile  del  tra/amento;   Titolo  della  presentazione  
  14. 14. Definizioni  ex  D.Lgs.  196/03   •  f)   "4tolare",   la   persona   fisica,   la   persona   giuridica,   la   pubblica   amministrazione   e   qualsiasi   altro   ente,   associazione   od   organismo   cui   competono,  anche  unitamente  ad  altro  4tolare,  le  decisioni  in  ordine  alle   finalità,   alle   modalità   del   tra/amento   di   da4   personali   e   agli   strumen4   u4lizza4,  ivi  compreso  il  profilo  della  sicurezza;   •  g)   "responsabile",   la   persona   fisica,   la   persona   giuridica,   la   pubblica   amministrazione  e  qualsiasi  altro  ente,  associazione  od  organismo  prepos4   dal  4tolare  al  tra/amento  di  da4  personali;   •  h)   "incarica4",   le   persone   fisiche   autorizzate   a   compiere   operazioni   di   tra/amento  dal  4tolare  o  dal  responsabile;   Titolo  della  presentazione  
  15. 15. Per  quanto  tempo?   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   designa   un   responsabile  della  protezione  dei  da4  per  un  periodo  di  almeno  due  anni.  Il   mandato  del  responsabile  della  protezione  dei  da4  è  rinnovabile.  Durante   il   mandato   può   essere   des4tuito   solo   se   non   soddisfa   più   le   condizioni   richieste  per  l’esercizio  delle  sue  funzioni.   Titolo  della  presentazione  
  16. 16. Breaking  news!   •  La  parte  rela=va  ai  criteri  quan=ta=vi  è  stata  oggeAo  di  modifiche  il  21  oAobre   u.s.  ad  opera  del  Civil  Liber=es,  Jus=ce  and  Home  Affairs  CommiAee.   •  In  par=colare,  si  è  modificata  la  parte  rela=va  alla  designazione  del  DPO,  che   adesso  dovrà  essere  designato  se  l’azienda  o  la  PA  traAano  da=  rela=vi  a  5000   interessa=   o   più   all’anno   o   se   la   loro   aTvità   principale   consiste   nel   traAamento   di   da=   sensibili   o   nella   monitorizzazione   sistema=ca   (?)   delle   persone.   •  Il  DPO  potrà  svolgere  i  propri  compi=  per  la  durata  di  quaAro  anni  se  interno   alla  struAura  o  di  due  anni  se  esterno  ad  essa.   •  Il  DPO  deve  rives=re  una  posizione  che  gli  consenta  di  svolgere  i  propri  compi=   con  la  necessaria  indipendenza  e  di  avere  una  protezione  speciale  (?)  contro  il   licenziamento.   Titolo  della  presentazione  
  17. 17. Gruppi  di  imprese  ed  en@  pubblici   •  Si   può   designare   un   unico   Responsabile   della   protezione   dei   da=   sia   per   le   imprese  facen=  capo  ad  un  unico  gruppo  sia  per  più  en=  pubblici  tenuto   conto  della  stru/ura  organizza4va  dell’autorità  pubblica  o  dell’organismo   pubblico.   Titolo  della  presentazione  
  18. 18. CaraIeris@che  del  Responsabile  della  protezione  dei  da@   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   designa   il   responsabile   della   protezione   dei   da4   in   funzione   delle   qualità   professionali,  in  par4colare  della  conoscenza  specialis4ca  della  norma4va   e   delle   pra4che   in   materia   di   protezione   dei   da4,   e   della   capacità   di   adempiere   ai   compi4   di   cui   all’ar4colo   37.   Il   livello   necessario   di   conoscenza   specialis4ca   è   determinato   in   par4colare   in   base   al   tra/amento   di   da4   effe/uato   e   alla   protezione   richiesta   per   i   da4   personali   tra/a4   dal   responsabile   del   tra/amento   o   dall’incaricato   del   tra/amento.   Titolo  della  presentazione  
  19. 19. Chi  ci  ricorda?   •  •  Art.  29  D.Lgs.  196/03   2.  Se  designato,  il  responsabile  è  individuato  tra  soggeB  che  per  esperienza,  capacità  ed   affidabilità   forniscano   idonea   garanzia   del   pieno   rispe/o   delle   vigen4   disposizioni   in   materia  di  tra/amento,  ivi  compreso  il  profilo  rela4vo  alla  sicurezza.   •  •  4.1  Valutazione  delle  caraAeris=che  soggeTve  dell’Amministratore  di  Sistema   L'a/ribuzione   delle   funzioni   di   amministratore   di   sistema   deve   avvenire   previa   valutazione   dell'esperienza,   della   capacità   e   dell'affidabilità   del   sogge/o   designato,   il   quale   deve   fornire   idonea   garanzia   del   pieno   rispe/o   delle   vigen4   disposizioni   in   materia  di  tra/amento  ivi  compreso  il  profilo  rela4vo  alla  sicurezza.   Anche  quando  le  funzioni  di  amministratore  di  sistema  o  assimilate  sono  a/ribuite  solo   nel   quadro   di   una   designazione   quale   incaricato   del   tra/amento   ai   sensi   dell'art.   30   del   Codice,   il   4tolare   e   il   responsabile   devono   a/enersi   comunque   a   criteri   di   valutazione   equipollen4  a  quelli  richies4  per  la  designazione  dei  responsabili  ai  sensi  dell'art.  29.   •  Titolo  della  presentazione  
  20. 20. Pun@  sui  quali  il  DPO  dovrà  prestare  idonea  garanzia   •  Provvedimen=  del  Garante   •  Norma=ve  di  seAore   •  Regolamen=  di  seAore   •  Adempimen=  documentali   •  TraAamen=  di  da=  sensibili   •  Marke=ng   •  TraAamen=  di  da=  dei  lavoratori   •  Best  prac=ce  in  materia  di  privacy   •  Cer=ficazioni  aziendali  (ISO  9001  ad  es.)   •  Altre  norma=ve  che  investono  l’aTvità  aziendale  nella  sua  interezza  (D.Lgs.  231/01  ad  es.)   Titolo  della  presentazione  
  21. 21. Incompa@bilità   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   si   assicura   che  ogni  altra  funzione  professionale  del  responsabile  della  protezione  dei   da4   sia   compa4bile   con   i   compi4   e   le   funzioni   dello   stesso   in   qualità   di   responsabile   della   protezione   dei   da4   e   non   dia   adito   a   confli/o   di   interessi.   •  Ergo,  non  è  compa=bile  ad  esempio  con  una  figura  apicale  che  svolga  già   altre  mansioni  ineren=  il  traAamento  dei  da=.   Titolo  della  presentazione  
  22. 22. Esterno  o  interno?   •  Il   responsabile   della   protezione   dei   da4   può   essere   assunto   dal   responsabile   del   tra/amento   o   dall’incaricato   del   tra/amento   oppure   adempiere  ai  suoi  compi4  in  base  a  un  contra/o  di  servizi.   Titolo  della  presentazione  
  23. 23. Pubblicità  e  riscontro  agli  interessa@   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   comunica   il   nome   e   le   coordinate   di   conta/o   del   responsabile   della   protezione   dei   da4   all’autorità  di  controllo  (aka  il  Garante)  e  al  pubblico.   •  Gli  interessa4  hanno  il  diri/o  di  conta/are  il  responsabile  della  protezione   dei  da4  per  tu/e  le  ques4oni  rela4ve  al  tra/amento  dei  loro  da4  personali   e   presentare   richieste   per   esercitare   i   diriB   riconosciu4   dal   presente   regolamento.   Titolo  della  presentazione  
  24. 24. Coinvolgimento   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   si   assicura   che   il   responsabile   della   protezione   dei   da4   sia   prontamente   e   adeguatamente  coinvolto  in  tu/e  le  ques4oni  riguardan4  la  protezione  dei   da4  personali.   Titolo  della  presentazione  
  25. 25. Indipendenza  e  autonomia   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   si   assicura   che   il   responsabile   della   protezione   dei   da4   adempia   alle   funzioni   e   ai   compi4   in   piena   indipendenza   e   non   riceva   alcuna   istruzione   per   quanto   riguarda  il  loro  esercizio.  Il  responsabile  della  protezione  dei  da4  riferisce   dire/amente   ai   superiori   gerarchici   del   responsabile   del   tra/amento   o   dell’incaricato  del  tra/amento.   •  Problemi:   –  non  riceve  alcuna  istruzione?   –  esistono  superiori  gerarchici  al  =tolare  del  traAamento?   Titolo  della  presentazione  
  26. 26. Risorse   •  Il   responsabile   del   tra/amento   o   l’incaricato   del   tra/amento   sos4ene   il   responsabile  della  protezione  dei  da4  nell’esecuzione  dei  suoi  compi4  e  gli   fornisce   personale,   locali,   a/rezzature   e   ogni   altra   risorsa   necessaria   per   adempiere  alle  funzioni  e  ai  compi4  di  cui  all’ar4colo  37.   •  Problemi:   –  difficoltà  applica=ve  nella  P.A.?   –  ulteriori  cos=  per  le  imprese?   Titolo  della  presentazione  
  27. 27. Compi@  “minimi”  del  Responsabile  della  protezione  dei  da@   •  Il  Responsabile  della  protezione  dei  da=  deve  almeno:   –  informare   e   consigliare   il   responsabile   del   traAamento   o   l’incaricato   del   traAamento  in  merito  agli  obblighi  derivan=  dal  […]  regolamento  e  conservare   la  documentazione  rela=va  a  tale  aTvità  e  alle  risposte  ricevute;   –  sorvegliare   l’aAuazione   e   l’applicazione   delle   poli=che   del   responsabile   del   traAamento   o   dell’incaricato   del   traAamento   in   materia   di   protezione   dei   da=   personali,   compresi   l’aAribuzione   delle   responsabilità,   la   formazione   del   personale  che  partecipa  ai  traAamen=  e  gli  audit  connessi;   –  sorvegliare   l’aAuazione   e   l’applicazione   del   […]   regolamento,   con   par=colare   riguardo   ai   requisi=   concernen=   la   protezione   fin   dalla   progeAazione,   la   protezione  di  default,  la  sicurezza  dei  da=,  l’informazione  dell’interessato  e  le   richieste  degli  interessa=  di  esercitare  i  diriT  riconosciu=  dal  […]  regolamento;   Titolo  della  presentazione  
  28. 28. Compi@  “minimi”  del  Responsabile  della  protezione  dei   da@  /2   –  garan=re  la  conservazione  della  documentazione  di  cui  all’ar=colo  28;   –  controllare   che   le   violazioni   dei   da=   personali   siano   documentate,   no=ficate   e   comunicate  ai  sensi  degli  ar=coli  31  e  32;   –  controllare   che   il   responsabile   del   traAamento   o   l’incaricato   del   traAamento   effeAui  la  valutazione  d’impaAo  sulla  protezione  dei  da=  e  richieda  l’autorizzazione   preven=va  o  la  consultazione  preven=va  nei  casi  previs=  dagli  ar=coli  33  e  34;   –  controllare   che   sia   dato   seguito   alle   richieste   dell’autorità   di   controllo   e,   nell’ambito  delle  sue  competenze,  cooperare  con  l’autorità  di  controllo  di  propria   inizia=va  o  su  sua  richiesta;   –  fungere  da  punto  di  contaAo  per  l’autorità  di  controllo  per  ques=oni  connesse  al   traAamento  e,  se  del  caso,  consultare  l’autorità  di  controllo  di  propria  inizia=va.   Titolo  della  presentazione  
  29. 29. Documentazione  di  cui  all’art.  28?   •  •  Ogni   responsabile   del   tra/amento,   incaricato   del   tra/amento   ed   eventuale   rappresentante  del  responsabile  del  tra/amento  conserva  la  documentazione  di  tuB  i   tra/amen4  effe/ua4  so/o  la  propria  responsabilità.   2.  La  documentazione  con4ene  almeno  le  seguen4  informazioni:   –  a)  nome  e  coordinate  di  conta/o  del  responsabile  del  tra/amento,  o  di  ogni  corresponsabile   del  tra/amento  o  incaricato  del  tra/amento,  e  dell’eventuale  rappresentante  del  responsabile   del  tra/amento;   –  b)  nome  e  coordinate  di  conta/o  dell’eventuale  responsabile  della  protezione  dei  da4;   –  c)   finalità   del   tra/amento,   compresi   i   legiBmi   interessi   persegui4   dal   responsabile   del   tra/amento  qualora  il  tra/amento  si  basi  sull’ar4colo  6,  paragrafo  1,  le/era  f);   –  d)  descrizione  delle  categorie  di  interessa4  e  delle  per4nen4  categorie  di  da4  personali;   –  e)   indicazione   dei   des4natari   o   delle   categorie   di   des4natari   dei   da4   personali,   compresi   i   responsabili  del  tra/amento  cui  sono  comunica4  i  da4  personali  ai  fini  del  perseguimento  dei   loro  legiBmi  interessi;   –  f)   se   del   caso,   indicazione   dei   trasferimen4   di   da4   verso   un   paese   terzo   o   un’organizzazione   internazionale,  compresa  l’iden4ficazione  del  paese  terzo  o  dell’organizzazione  internazionale   e,   per   i   trasferimen4   di   cui   all’ar4colo   44,   paragrafo   1,   le/era   h),   la   documentazione   delle   garanzie  adeguate;   –  g)  indicazione  generale  dei  termini  ul4mi  per  cancellare  le  diverse  categorie  di  da4;   –  h)   descrizione   dei   meccanismi   di   cui   all’ar4colo   22,   paragrafo   3   [verifica   dell’efficacia   delle   misure  adoAate  a  tutela  dei  da=  personali]  .   Titolo  della  presentazione  
  30. 30. In  principio  fu  il  DPS   •  •  •  •  •  •  •  •  19.1.  l'elenco  dei  traAamen=  di  da=  personali;   19.2.   la   distribuzione   dei   compi=   e   delle   responsabilità   nell'ambito   delle   struAure   preposte   al   traAamento   dei  da=;   19.3.  l'analisi  dei  rischi  che  incombono  sui  da=;   19.4.  le  misure  da  adoAare  per  garan=re  l'integrità  e  la  disponibilità  dei  da=,  nonchè  la  protezione  delle   aree  e  dei  locali,  rilevan=  ai  fini  della  loro  custodia  e  accessibilità;   19.5.   la   descrizione   dei   criteri   e   delle   modalità   per   il   ripris=no   della   disponibilità   dei   da=   in   seguito   a   distruzione  o  danneggiamento  di  cui  al  successivo  punto  23;   19.6.  la  previsione  di  interven=  forma=vi  degli  incarica=  del  traAamento,  per  renderli  edoT  dei  rischi  che   incombono  sui  da=,  delle  misure  disponibili  per  prevenire  even=  dannosi,  dei  profili  della  disciplina  sulla   protezione   dei   da=   personali   più   rilevan=   in   rapporto   alle   rela=ve   aTvità,   delle   responsabilità   che   ne   derivano   e   delle   modalità   per   aggiornarsi   sulle   misure   minime   adoAate   dal   =tolare.   La   formazione   è   programmata   già   al   momento   dell'ingresso   in   servizio,   nonchè   in   occasione   di   cambiamen=   di   mansioni,   o   di  introduzione  di  nuovi  significa=vi  strumen=,  rilevan=  rispeAo  al  traAamento  di  da=  personali;   19.7.  la  descrizione  dei  criteri  da  adoAare  per  garan=re  l'adozione  delle  misure  minime  di  sicurezza  in  caso   di  traAamen=  di  da=  personali  affida=,  in  conformità  al  codice,  all'esterno  della  struAura  del  =tolare;   19.8.   per   i   da=   personali   idonei   a   rivelare   lo   stato   di   salute   e   la   vita   sessuale   di   cui   al   punto   24,   l'individuazione   dei   criteri   da   adoAare   per   la   cifratura   o   per   la   separazione   di   tali   da=   dagli   altri   da=   personali  dell'interessato.   Titolo  della  presentazione  
  31. 31. Quindi…   •  Prima   facie,   il   Regolamento   imporrebbe   nuovamente   un   obbligo   documentale  che  comprenderebbe  e  amplierebbe  quello  che  era  il  DPS.   Titolo  della  presentazione  
  32. 32. Sanzioni   •  La  bozza  di  Regolamento  prevede  una  sanzione,  da  irrogarsi  da  parte  del   Garante,  fino  a  1  000  000  EUR  o,  per  le  imprese,  fino  al  2%  del  fa/urato   mondiale   annuo,   a   chiunque,   con   dolo   o   colpa   […]   non   designa   un   responsabile   della   protezione   dei   da4   o   non   garan4sce   le   condizioni   per   l’adempimento   dei   compi4   del   responsabile   della   protezione   dei   da4,   in   violazione  degli  ar4coli  35,  36  e  37.   Titolo  della  presentazione  
  33. 33. Grazie  per  l’aIenzione!     Avv.  Prof.  Aggr.  Pierluigi  Perri   e-­‐mail(s):  pierluigi.perri_at_unimi.it                                            pierluigi.perri_at_mpslaw.it     Titolo  della  presentazione  

×