201804.03
0

Milano, 03 aprile 2018 - In vista della piena applicazione del nuovo Regolamento Europeo Privacy, prevista per il prossimo 25 maggio 2018,  il Garante privacy sta mettendo in atto diverse azioni e misure per accompagnare gli operatori del settore nella corretta transizione verso le nuove regole. A tale riguardo, si segnala, da ultimo, le nuove FAQ sulla designazione del Data Protection Officer (DPO) o Responsabile della protezione dei dati (RPD), considerata dal Garante tra le priorità fissate per l'applicazione del GDPR.
 
Con le nuove FAQ, il Garante mira a precisare il ruolo del DPO, con particolare riferimento al settore privato (le FAQ relative al settore pubblico erano già state pubblicate nel dicembre 2017). Si tratta di FAQ aggiuntive rispetto a quelle già rese dal nostro Garante in calce alle Linee Guida del Gruppo di Lavoro ex art. 29 sempre sul DPO.
Il Garante offre indicazioni in merito a: individuazione dei soggetti privati obbligati/non obbligati alla designazione del DPO; possibilità di designare DPO un soggetto esterno; compatibilità del ruolo di DPO con altri incarichi; compiti e requisiti del DPO e modalità di nomina.
Con particolare riferimento ai requisiti, viene chiarito che il DPO deve possedere “un'approfondita conoscenza della normativa e delle prassi in materia di privacy” nonché “offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali”.
Il Garante ha, poi, diffuso lo schema dell’atto di designazione del DPO ex art. 37 GDPR, in allegato alle nuove FAQ.
 
Sempre nel quadro delle iniziative assunte dal Garante, si annovera altresì l’aggiornamento 2018 della Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali, messa a disposizione sul sito dov’è possibile consultarla in formato digitale.  Con il comunicato stampa del 27 marzo 2018, il Garante fa presente che “il documento – che traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa – è stato in parte modificato e integrato alla luce dell’evoluzione della riflessione a livello nazionale ed europeo”. Rispetto alla versione precedente, il testo è stato, infatti, integrato proprio con le Linee Guida sul Regolamento finora adottate dal Gruppo di Lavoro ex art. 29, che sono state anche inserite in un’appendice finale, e contiene raccomandazioni specifiche e suggerimenti sulle azioni che possono essere intraprese in vista dell’adeguamento. Le sezioni trattate sono 6: fondamenti di liceità del trattamento, informativa, diritti degli interessati, figure coinvolte nell’attività di trattamento (Titolare, Responsabile, Incaricato del trattamento), approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili, trasferimenti di dati verso Paesi terzi e organismi internazionali.
 
In questo contesto di dinamicità crescente, non mancano interventi e iniziative di interesse anche a livello europeo dove un ruolo fondamentale è giocato altresì dal Garante Europeo della protezione dei dati che, di recente, ha emanato delle proprie linee guida relative alla protezione dei dati personali nell’ambito dell’IT governance e IT management, da ritenersi fonte di ispirazione anche per organizzazioni diverse dalle istituzioni europee.