Lo scorso 13 dicembre 2016 il Gruppo dei Garanti UE (WP29) ha pubblicato tre documenti contenenti indicazioni e raccomandazioni su importanti novit\u00e0 del Regolamento (diritto alla portabilit\u00e0 dei dati, D.P.O., Autorit\u00e0 capofila), in vista della sua applicazione a decorrere dal 25 maggio 2018.<\/p>\n
Per quanto attiene al Data Protection Officer<\/em>, le linee guida evidenziano innanzitutto come la designazione di tale figura costituisca la base di un buon processo di adeguamento alla normativa e come egli possa al contempo agire da intermediario verso diversi interlocutori, tra cui le Autorit\u00e0 di controllo. Appare dunque evidente come il WP29, ancor prima di soffermarsi sulle ipotesi nelle quali la nomina del D.P.O. assume carattere obbligatorio ai sensi della nuova disciplina, ritenga la designazione di tale figura una buona prassi e incoraggi l\u2019individuazione di un Data Protection Officer<\/em> anche da parte delle aziende che sarebbero esenti da tale adempimento. Inoltre, nell\u2019ottica del principio di accountability <\/em>introdotto dal Regolamento, il WP29 raccomanda di documentare per iscritto le motivazioni che hanno portato alla scelta di nominare o meno un D.P.O., al fine di poter dimostrare (in vista di un\u2019eventuale ispezione) che i fattori di maggiore importanza sono stati presi debitamente in considerazione.<\/p>\n Con riferimento alla prima ipotesi in base alla quale la nomina del D.P.O. assume carattere obbligatorio (trattamenti effettuati da un\u2019\u201dAutorit\u00e0 Pubblica<\/em>\u201d o un \u201cOrganismo pubblico<\/em>\u201d \u2013 art. 37 co. I l. a) del Regolamento), il WP29 precisa che tale obbligatoriet\u00e0 non sussiste rispetto alle aziende private che erogano servizi pubblici, quali quelle che operano nel settore dell\u2019energia o dei trasporti. Ad ogni modo, visto che in tal caso i soggetti interessati verrebbero a trovarsi in una condizione simile a quella tipica dei trattamenti effettuati da Autorit\u00e0 pubbliche o Organismi pubblici, le linee guida specificano che la nomina del D.P.O. costituisce sicuramente una buona prassi.<\/p>\n Oltre all\u2019ipotesi sopra indicata, l\u2019art. 37 co. I. l. b) e c) del Regolamento impone di procedere alla nomina di un Data Protection Officer <\/em>qualora le attivit\u00e0 principali del Titolare\/Responsabile del trattamento consistano in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o che consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.<\/p>\n Nel definire poi che cosa si intenda con \u201cattivit\u00e0 principali\u201d <\/em>del Titolare o del Responsabile del trattamento, il WP29 precisa che le stesse ricomprendono il trattamento dei dati personali tutte le volte in cui esso costituisca parte integrante delle attivit\u00e0 ordinariamente svolte da tali soggetti. Da ci\u00f2 consegue, ad esempio, che l\u2019erogazione dei servizi tipicamente offerti da un ospedale risulta strettamente connessa con il trattamento dei dati riguardanti la salute dei pazienti.<\/p>\n Con riferimento poi alla definizione di \u201ctrattamenti su larga scala\u201d<\/em>, il Gruppo di Lavoro ex art. 29 non sembra prendere una posizione precisa, non fornendo una definizione di tipo quantitativo in merito. Esso impone, sostanzialmente, di valutare una serie di fattori, tra cui il numero di soggetti interessati, il volume di dati trattati, la durata delle operazioni di trattamento, l\u2019estensione geografica di quest\u2019ultime. Al riguardo, fornisce una serie di esempi che dovrebbero essere ricompresi in tale ipotesi, tra cui il trattamento di dati personali effettuato da banche o compagnie di assicurazione o quello che abbia ad oggetto i dati di viaggio dei soggetti che utilizzano mezzi di trasporto pubblici. Da ultimo, il \u201cmonitoraggio regolare e sistematico\u201d <\/em>viene definito come quella forma di monitoraggio effettuata periodicamente o in via continuativa ed al suo interno \u00e8 ricompresa, ad esempio, la profilazione online.<\/p>\n <\/p>\n Dalla lettura di tale documento emerge come il WP29 non abbia fornito delle indicazioni puntuali in ordine agli obblighi che gravano in capo alle aziende. Esso rappresenta, ad ogni modo, il primo tentativo di fornire delle indicazioni di ordine pratico rispetto ad una figura, quale quella del Data Protection Officer, <\/em>di fondamentale importanza per le singole organizzazioni.<\/p>\n La non puntualit\u00e0 degli obblighi contenuti all\u2019interno delle Linee Guida determiner\u00e0 l\u2019onere in capo ai Titolari\/Responsabili del trattamento di documentare per iscritto le motivazioni che hanno portato all\u2019adozione di una determinata decisione, o comunque le ragioni che hanno spinto gli stessi a porre in essere un adempimento ben preciso, nell\u2019ottica del generale principio di accountability<\/em> contenuto all\u2019interno del Regolamento.<\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Lo scorso 13 dicembre 2016 il Gruppo dei Garanti UE (WP29) ha pubblicato tre documenti contenenti indicazioni e raccomandazioni su importanti novit\u00e0 del Regolamento (diritto alla portabilit\u00e0 dei dati, D.P.O., Autorit\u00e0 capofila), in vista della sua applicazione a decorrere dal 25 maggio 2018. Per quanto attiene al Data Protection Officer, le linee guida evidenziano innanzitutto\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":209,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,3],"tags":[],"class_list":["post-2477","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer","category-roles-and-liabilities"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2477","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/209"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2477"}],"version-history":[{"count":2,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2477\/revisions"}],"predecessor-version":[{"id":2481,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2477\/revisions\/2481"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2477"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2477"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2477"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}