Privacy – Faq

LE DOMANDE PIU’ FREQUENTI SULLA PRIVACY

Consulta di seguito le risposte alle domande più frequenti in materia di protezione dei dati personali.

Quando va nominato un RPD / DPO?

Il Responsabile per la Protezione dei Dati, o Data Protection Officer, non va confuso con i Responsabili del trattamento: il RPD infatti è un soggetto che, in posizione di autonomia e di indipendenza, controlla l’attività del Titolare e /o del Responsabile del trattamento, fornendo funzione di supporto e di stimolo costante per migliorare la protezione dei dati e i vari aspetti del trattamento.

Si tratta di una figura di controllo e di responsabilità pensata per realtà che trattano dati delicati e / o su larga scala: per specificare meglio questi criteri, in presenza dei quali nominare un RPD, si deve fare riferimento alle indicazioni date dal Garante per la protezione dei dati personali e provenienti dagli organismi europei; in ogni caso, di norma la nomina di tale figura non compete a delle strutture che appartengano a una rete più grande gestita, per vincoli societari o statutari, da soggetti di controllo e coordinamento maggiori.

La vecchia modulistica precedente al GDPR va bene?

Secondo le indicazioni contenute nel Considerando n°171 del Regolamento (UE) del Parlamento Europeo e del Consiglio n°679/2006 (più noto come GDPR), se il consenso prestato dall’Interessato è conforme alle indicazioni e alle tutele della nuova normativa, esso dovrà considerarsi validamente prestato.

Una modulistica particolarmente curata e completa, anche se precedente all’entrata in vigore del GDPR, fornisce quindi una certa tutela nei confronti della nuova normativa; in ogni caso, essendo intervenuti nuovi obblighi di contenuto e nuove riflessioni sulla corretta espressione del consenso da richiedere all’Interessato, risulta necessario non accontentarsi della modulistica precedente e procedere alla sua revisione.

In pratica, che novità ci sono nell’attività di tutti i giorni?

Il sistema disegnato dal GDPR è un sistema di prevenzione. Per potersi dire conformi alla legge, bisognerà dimostrare di aver fatto tutto il possibile per:

• Capire quali passaggi fanno i dati personali nella propria struttura (chi li raccoglie? Dove li conserva? Come li processa, e perché? A potrebbero essere comunicati e perché?)
• Informare gli interessati e raccogliere il loro consenso
• Proteggere i dati in ogni passaggio che compiono(Ho autorizzato e formato chi li raccoglie e li tratta? Ho protetto i luoghi fisici e informatici in cui sono conservati i dati? Gli strumenti con cui sono trattati i dati sono protetti? Ho dei rapporti chiari con i soggetti a cui potrebbero essere comunicati i dati -es. fornitori, terzi-?)

Lo scopo di queste attività è garantire un grado adeguato di protezione da ciò che può minacciare l’integrità (evitare che vengano modificati o distrutti quando non previsto), la riservatezza (evitare che vengano comunicati o diffusi quando non previsto) o la disponibilità dei dati (evitare che non siano disponibili quando servono), creando così dei danni agli Interessati.

Chi è l’Interessato?

Si può essere tentati di pensare che l’Interessato sia sempre “colui che sta dall’altra parte del bancone”, ma non è così.

L’Interessato è qualunque persona fisica di cui si trattano i dati.

Un socio, un utente o un committente sono tutti esempi di Interessato, e in genere sono il caso più numeroso. Ma anche le proprie risorse umane (dipendenti, collaboratori) sono degli Interessati, quando si parla dei loro dati personali. Anche i fornitori e i referenti dei soggetti terzi forniscono dati personali (es. nomi, indirizzi, recapiti) che li rendono Interessati.

La protezione dei dati deve riguardare i dati personali di ciascuna tipologia di Interessato, fornendo le giuste informazioni e proteggendo i passaggi dei vari flussi dei dati per ciascuna tipologia.