Il 22/06/2017 21:48, Stefano Fanari ha scritto:
> Sapete se il gdpr sará esteso anche alle aziende private?
A domanda generica, risposta generica:*si applica a tutte le persone
fisiche e giuridiche (pubbliche o private) europee *ovvero tutti gli
stati membri sono soggetti al nuovo regolamento che sostituisce la
direttiva di riferimento attualmente in vigore (la n. 95/46/CE) e le
singole leggi nazionali di recepimento a far data dal *25 Maggio 2018 *a
questo link il regolamento (
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6264597
) sostituendo o integrando la normativa sulla privacy (in termini di
tutela e/o di responsabilità)
Il soggetto (è il "titolare") dovrà infatti valutare l'impatto dei
trattamenti sui dati personali, stabilire verifiche periodiche,
assicurare ogni tempestivo aggiornamento e la messa a disposizione della
documentazione alle autorità di controllo ("*privacy impact
assessment*"), le modalità e le misure di sicurezza applicabili al
trattamento dati, inoltre dovrà implementare meccanismi di audit che
assicurino la verifica dell'efficacia delle misure adottate
eventualmente designando un responsabile della protezione dei dati (è il
"*privacy officer*"), porre in essere meccanismi con l'obiettivo di
effettuare un trattamento dei dati limitato alle finalità specifiche
("privacy by default") e incorporare la privacy direttamente nella
progettazione dei processi aziendali e dei sistemi IT ("*privacy by
design*").
A mente del Regolamento (art. 37), la nomina del DPO è obbligatoria:
a) se il trattamento è svolto da un'autorità pubblica o da un organismo
pubblico, con l'eccezione delle autorità giudiziarie nell'esercizio
delle funzioni giurisdizionali; oppure
b) se le attività principali del titolare o del responsabile consistono
in trattamenti che richiedono il monitoraggio regolare e sistematico di
interessati su larga scala; oppure
c) se le attività principali del titolare o del responsabile consistono
nel trattamento su larga scala di categorie particolari di dati o di
dati personali relativi a condanne penali e reati.
Si tenga presente che la designazione obbligatoria di un DPO può essere
prevista anche in casi ulteriori in base alla legge nazionale o al
diritto comunitario. Inoltre, anche ove il regolamento non imponga in
modo specifico la designazione di un DPO, può risultare utile procedere
a tale designazione su base volontaria. Il Gruppo di lavoro "Articolo
29", così come il Garante italiano, incoraggiano un tale approccio
"cautelativo".
Per quanto concerne *la designazione del DPO*, all'interno delle linee
guida viene specificato che tale ruolo e tale figura può essere
ricoperta esclusivamente da una persona fisica, supportata, laddove
necessario, da un team. Il DPO, quindi, non può essere una persona
giuridica: la nomina deve essere personale.
Ciao
Nick
