Nuove figure soggettive
Le figure di titolare e di responsabile rimangono sostanzialmente invariate rispetto al Codice Privacy.
Introduzione della corresponsabilità del trattamento (Joint Controllers) (art. 26) che si verifica quando due o più titolari determinano congiuntamente le finalità e gli strumenti per il trattamento. In questi casi è necessario che le parti stipulino un accordo in cui devono essere stabilite le relative responsabilità e l’ambito di attività del trattamento.
Istituzione da parte del titolare o responsabile della figura del “responsabile della protezione dei dati” (Data Protection Officer – DPO) (artt. 37-39) per tutte le pubbliche amministrazioni ed enti pubblici ad eccezione delle autorità giudiziarie.
L’obbligo riguarda anche i soggetti (enti e imprese) che trattano dati particolarmente sensibili, oppure che trattano dati che richiedono il controllo regolare e sistematico su larga scala, dove per larga scala si intende una notevole quantità di dati e di rischio elevato per gli interessati (Art 91 “Considerando”).
Sulla definizione di “larga scala” si è espresso il Gruppo di lavoro art. 29 con le Linee guida approvate il 16 dicembre 2016 , successivamente revisionate ed entrate in vigore il 5 aprile 2017. che ha fornito alcuni chiarimenti ed esemplificazioni:
Definizione di “larga scala”:
- numero degli interessati;
- massa di dati e tipologia di dati trattati;
- tempo determinato o indeterminato dell’attività di trattamento;
- estensione geografica del trattamento (es: ospedali, aziende di trasporto, compagnie assicurative, istituti di credito, motori di ricerca, fornitori di servizi di telecomunicazioni, trattamenti di geolocalizzazione.
ad esempio: (es: ospedali, aziende di trasporto, compagnie assicurative, istituti di credito, motori di ricerca, fornitori di servizi di telecomunicazioni, trattamenti di geolocalizzazione).
Il RPD assume un ruolo chiave nel sistema di gestione dei dati
I compiti fondamentali dell’RPD si sostanziano nei seguenti punti:
- informare e consigliare il titolare, il responsabile del trattamento o l’incaricato del trattamento in merito agli obblighi derivanti dal Regolamento;
- sorvegliare l’attuazione e l’applicazione delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 31 e 32 del Regolamento;
- controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati e fornire un eventuale parere in proposito.
- cooperare con l’autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa.
Tale figura deve essere designata in base alla sua professionalità e, in particolare, alla sua conoscenza della legislazione di protezione dei dati e deve svolgere il proprio ruolo responsabilmente e con lealtà e riservatezza.
L’Autorità Garante ha elaborato una prima guida sul nuovo Regolamento Europeo UE 2016/679.
Autorità
Istituzione del Comitato di controllo europeo al fine di assicurare e promuovere l’applicazione del Regolamento tramite la pubblicazione di linee guida, raccomandazioni, proposte di modifica al Regolamento (artt. 68-76). Il Comitato di controllo è composto dalla figura di vertice dell’autorità di controllo di ciascun stato membro e dal Garante Europeo della protezione dei dati, o dai rispettivi rappresentanti.
Istituzione di un’Autorità di Controllo per ciascun stato membro (artt: 117-122), che in Italia corrisponde alla figura del Garante per la protezione dei dati personali prevista dal Codice Privacy.