Le violazioni meno gravi del GDPR, possono comportare delle sanzioni amministrative di importi fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato totale annuo dell’esercizio precedente. In particolare riguardano nello specifico le violazioni degli obblighi imposti al Titolare o Responsabile del Trattamento, al Responsabile della Protezione dei dati o all’organismo di controllo dei codici di condotta. Chi è e che ruolo ha il Responsabile della Protezione dei dati ?
In un nostro precedente articolo abbiamo parlato dell’importanza della sicurezza e della protezione dei dati personali. Con quest’obiettivo nel 2016 è stato adottato il GDPR (General Data Protection Regulation), Regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy.
Secondo l’articolo 37, paragrafo 7, del Regolamento sia soggetti pubblici che privati devono comunicare al Garante il nominativo del Responsabile della Protezione dei Dati (RDP) .
La figura del Responsabile della Protezione dei dati
Il Responsabile della Protezione dei dati personali (RPD) sarà nominato o dal Titolare del trattamento (o dal Responsabile del trattamento) che sono per così dire la mente del trattamento dei dati. Il Responsabile della Protezione dei dati è in un certo senso il braccio. L’RPD deve avere una buona padronanza della normativa (competenza giuridica) e dei sistemi di gestione dei dati personali (competenza tecnica). Il suo ruolo richiede che la sua attenzione sia rivolta primariamente nell’interesse della protezione dei dati e non nell’interesse del Titolare del trattamento, quindi è indispensabile che non ci sia un conflitto d’interesse. Inoltre deve poter svolgere il suo compito in modo autonomo e indipendente avendo il supporto in termini di mezzi o risorse umane. Questa figura professionale sarà il punto di contatto tra l’azienda o l’ente e il Garante.
Chi ha l’obbligo di nominare un Responsabile della Protezione dei dati ?
Gli enti e le amministrazioni pubbliche hanno l’obbligo a prescindere di nominare il detto Responsabile della Protezione dei dati.
In ambito privato, invece, solo se il trattamento dei dati, personali o sensibili, fa parte dell’attività principale, cioè è imprescindibile dalle finalità dell’azienda. Per esempio la videosorveglianza al interno di una ditta di trasporti non è l’attività principale, ma di una società di sicurezza sì. Inoltre, la nomina del RPD è necessaria anche quando la raccolta dei dati richiede un monitoraggio regolare e sistematico dei dati su larga scala. Il concetto di monitoraggio “regolare e sistematico” è abbastanza intuitivo, invece quello di “larga scala” non è molto definito, ma potremmo dire in modo semplice che dipende :
- dal numero di soggetti interessati dal trattamento, in percentuale rispetto a una popolazione di riferimento,
- dal volume dei dati,
- dalla durata o la persistenza del trattamento,
- dalla portata geografica.
In caso di Data Breach, chi deve intervenire ?
Il Data Breach, ovvero la violazione dei dati, non avviene solo in caso di attacco hacker, con un furto dei dati o un attacco con virus o malware, ma può anche essere dovuto al impossibilità di accedere ai dati per problemi tecnici, come un backup che non si può ripristinare o anche per una perdita dei dispositivi contenenti i dati personali.
In questi casi è il Titolare del trattamento che ha il dovere di comunicare la violazione al Garante entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che la violazione dei dati rappresenti un rischio improbabile di danni fisici, materiali o immateriali per i loro proprietari.
Il tuo sito internet e le adempienze del GDPR
È molto importante adempiere tutti i vari aspetti contenuti nella normativa. Principalmente per tutelare i nostri clienti, ma anche evitare spiacevoli sanzioni da parte del Garante. In un primo tempo, la società Iubenda ci può aiutare in modo pratico ed efficace nella compilazione delle Privacy e Cookie Policy. Per più informazioni può essere interessante consultare quest’articolo. Iubenda offre anche un forum di supporto e la possibilità di scrivere e-mail con le nostre domande.
Kuboweb si appoggia a Iubenda per adempiere ai vari requisiti richiesti dal GDPR. Stai valutando un restyling del tuo sito e vuoi essere sicuro delle tue adempienze contattaci subito.