NEWS

Antonio Ciccia Messina

Creazione di una funzione aziendale “prevenzione reclami” e focus sulle occasioni di ravvedimento operoso in ottica di minimizzazione del rischio “sanzioni” da un lato (per il data controller); opportunità di interpellare il titolare del trattamento prima della presentazione del reclamo, dall’altro lato (per il data subject) : sono questi alcuni spunti per la gestione pratica delle forme di tutela previste dal regolamento del Garante sui reclami. In effetti il GDPR ha cambiato le carte in tavola: ha detto addio ai ricorsi e ha emancipato i reclami.

Il Data Protection Officer, o Responsabile della Protezione dei dati (RPD) svolge un ruolo fondamentale nell’iter della valutazione di impatto sulla protezione dei dati (DPIA). L’articolo 35, paragrafo 2, RGPD prevede in modo specifico che il titolare “si consulta” con il RPD, quando svolge una DPIA.  Inoltre l’articolo 39, paragrafo 1, lettera c) affida al RPD il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”.

La P.A. deve essere una casa di vetro, non certo per esporre il cittadino nudo, ma per garantire il controllo sul potere. Il bilanciamento tra riservatezza individuale e trasparenza dell’esercizio della amministrazione pubblica è un’operazione di per sé precaria, ma non si devono sacrificare oltre misura i diritti dei singoli. Il problema è che il sistema del bilanciamento diffuso sta originando risposte “caso per caso” senza additare orientamenti consolidati.

L’articolo 37, par. 1, del GDPR prevede che il titolare e il responsabile del trattamento designino il responsabile della protezione dei dati (c.d. DPO). Il Garante per la protezione dei dati personali spiega che l'atto di designazione è parte costitutiva dell'adempimento. Questo vale sia nel caso in cui si designi un interno, sia ovviamente nel caso di DPO esterno.

I dati di contatto di una persona giuridica non sono un dato personale. Lo dice il Considerando 14 del Regolamento UE 2016/679, che esclude l’applicazione del Gdpr ai dati di contatto degli enti plurisoggettivi (che abbiano o meno la personalità giuridica, come intesa nell’ordinamento italiano). Ma il problema, che sta creando un discreto caos, è che cosa debba intendersi per dato di contatto.

Nel caso di violazioni dei dati personali il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista) senza indebiti ritardi e, se possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Le fotografie di minori sono materiale delicato: non tutti hanno diritto di caricare le foto sul profilo social. Se papà e mamma divorziano, il nuovo partner di uno dei genitori non può, senza il consenso dell’altro genitore, pubblicare le foto di figli dell’ex coppia.

La nomina di autorizzato al trattamento dei dati è un adempimento di cruciale importanza per il titolare del trattamento. A tale riguardo la regola è la libertà di forme: è il titolare del trattamento che deve e può decidere attraverso quali modalità rendere riconoscibile che un certo soggetto è stato autorizzato al trattamento di dati personali. All’interno di questa libertà di forma, tuttavia, deve essere assicurato un risultato: poter ricostruire “chi fa che cosa”. Disponibile nell'area riservata del sito di Federprivacy un apposito kit completo di modelli specifici per settori.

È eccessivo scattare foto al passeggero del trasporto pubblico che non ha un biglietto valido per contestargli la sanzione amministrativa. A questo risultato si giunge attraverso un’analisi del flusso dei dati nel caso in cui non ci sia un archivio fotografico per fare il raffronto delle immagini e il rintraccio del nome. Altra questione è la raccolta di prove per contestare reati.

Lo stato avanzamento lavori, al 31 dicembre 2018, della privacy a tinte europee evidenzia, tra le cose fatte, la cernita delle disposizioni di codici deontologici e delle autorizzazioni generali compatibili con il Regolamento generale Ue n. 2016/679 sulla protezione dei dati (Rgpd); mentre sono ancora in lavorazione una serie di adempimenti e provvedimenti, tra cui le misure di garanzia in ambito sanitario oppure le semplificazioni per le piccole e medie imprese e così via.

Prev12Next
Pagina 1 di 2

I chiarimenti del Garante sulla Norma UNI 11697:2017

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Ho letto l'informativa sulla privacy e presto il consenso al trattamento dei miei dati personali