Fornitura di Data Protection Officer
Figura Professionale di Responsabile della Protezione dei Dati Personali
Tra gli adempimenti di più ampio impatto sul mercato con l’attuazione del GDPR, c’è l’obbligo a nominare il responsabile della protezione dei dati personali ovvero del Data Protection Officer (DPO).
Il DPO è un professionista la cui responsabilità è quella di osservare, valutare e suggerire la gestione del trattamento di dati personali all’interno di un’azienda, affinché questi siano trattati nel rispetto del GDPR.
Deve possedere competenze giuridiche, informatiche, di risk management e di analisi dei pro-cessi.
Sono obbligati alla nomina tutte le Amministrazioni Pubbliche, ed in ambito Privato le Organizzazioni le cui attività richiedono su larga scala un monitoraggio regolare e sistematico di Dati Personali, oppu-re quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.
Il Consorzio IUSTEC, grazie alla propria composizione di Professionisti, Avvocati ed Aziende ICT specializzate in temi di Privacy e Cyber Security, offre la propria esperienza nella fornitura di DPO certificati UNI 11697, ognuno con capacità specifiche nei maggiori ambiti di intervento (Sanità, Pubbliche Amministrazioni, ICT, Enti Formativi) al fine di assicurare la massima competenza.
I componenti del Consorzio IUSTEC sono Soci-Fondatori dell’Associazione
Avvocati: una guida sulle regole deontologiche in materia di privacy
L’articolo è pubblicato nella sua versione integrale sul quotidiano online di informazione giuridica “ALTALEX”, diretto da Alessandro Buralli.
Il contenuto dell’articolo proposto da Altalex, nella rubrica settimanale Avvocato 4.0, è una guida agile e chiara per garantire la compliance dello studio legale non solo al Regolamento europeo per il trattamento dei dati personali ma anche alle nuove “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria”, appena pubblicate in Gazzetta Ufficiale.
Valutazione di impatto: quando è necessaria?
Il Data Protection Impact Assessment, o DPIA, non è sempre un documento da redigere in forma obbligatoria. Tuttavia quando se ne configura l’obbligo, la sua assenza può portare a sanzioni molto importanti.
Il chiarimento sulle fattispecie che configurano l’obbligo è arrivato con il provvedimento del Garante della Privacy n° 467 dell’11 Ottobre 2018 in attuazione dell’articolo 35 del regolamento UE sulla protezione dei dati n° 2016/679 che affida alle autorità di controllo dei diversi stati europei il compito di identificare le fattispecie ove l’obbligo sia previsto.
Le situazioni che comportano l’obbligo configurano evidentemente un elevato rischio per le persone i cui dati personali sono oggetto di trattamento.
Le casistiche individuate dal Garante della Privacy italiano identificano 12 tipologie di trattamento da sottoporre a valutazione di impatto, nonostante l’elenco non debba ritenersi esaustivo:
- Trattamenti valutativi o di scoring su larga scala, profilazione e attività predittive anche online o attraverso app;
- Decisioni automatizzate che producono effetti giuridici (come lo screening dei clienti di una banca per il tramite di dati di una centrale rischi);
- Osservazione, monitoraggio o controllo degli interessati, trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione (compresi i trattamenti di metadati);
- Trattamenti su larga scala di dati aventi carattere estremamente personale;
- Trattamenti nel rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione);
- Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
- Trattamenti effettuati attraverso l’uso di tecnologie innovative (IoT; intelligenza artificiale; assistenti vocali online attraverso lo scanning vocale e testuale; monitoraggi con dispositivi indossabili; tracciamenti di prossimità come il wi-fi tracking);
- Scambio tra diversi titolari di dati su larga scala con modalità telematiche; interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (ad esempio mobile payment);
- Trattamenti di categorie particolari e di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse;
- Trattamenti sistematici di dati biometrici;
- Trattamenti sistematici di dati genetici.