23 Gen L’Istituto Privacy propone il Responsabile della Protezione Dati per imprese ed enti in Italia

Roma, 23 gennaio 2014 – In occasione dell’importante convegno di domani presso la sala conferenze del Garante Privacy a Roma, sulla figura del Responsabile della Protezione dei Dati (Data Protection Officer o Privacy Officer all’estero, link alla locandina del convegno) nel venturo Regolamento UE, l’Istituto Italiano per la Privacy e la Valorizzazione dei Dati presenta pubblicamente alle istituzioni la propria proposta di emendamento legislativo per l’introduzione di tale cruciale figura di coordinamento anche in Italia.

L’avvocato Luca Bolognini, presidente dell’Istituto, non ha dubbi: “La privacy di cittadini, utenti e consumatori è sempre più a rischio, e aspettare l’avvento del Regolamento europeo è ormai diventato insensato: l’impasse politica a Bruxelles ne impedisce l’approvazione in tempi ragionevoli e comunque passeranno almeno due anni dalla sua entrata in vigore perché possa essere applicato. Va previsto anche in Italia, da subito, il “Responsabile della Protezione dei dati” per enti pubblici e imprese che fanno trattamenti rischiosi”.
Bolognini continua: “Con gli esperti dell’Istituto abbiamo prodotto una bozza di emendamento al Codice Privacy e oggi la rendiamo nota. Speriamo vi siano molti Parlamentari disposti a farla propria e a trasformarla in legge. In alternativa, chiediamo all’Autorità Garante di prendere in considerazione l’opportunità di prevedere tale figura in un Provvedimento generale, come fece in passato per gli amministratori di sistema o con approccio di soft-regulation. Si tratterebbe di un passo fondamentale per indurre imprese ed enti pubblici, che come sappiamo faticano a darsi una linea nella protezione dei dati di cittadini e clienti/utenti, a rispettare i nostri diritti e la nostra privacy sempre più violata e trascurata.”
Bolognini conclude: “E’ importante aiutare imprese ed enti a “fare mente locale” sulla tutela della privacy e a dotarsi di un’organizzazione adeguata, che non può prescindere dal coordinamento interno e quindi dalla figura del DPO. La finzione giuridica della titolarità del trattamento in capo all’ente/persona giuridica – cioè in capo a un’entità immateriale – ha spesso causato proprio questa assenza di responsabilizzazione nella concreta tutela della privacy dei cittadini”.

Testo dell’emendamento proposto dall’Istituto Italiano per la Privacy e la Valorizzazione dei Dati

PROPOSTA DI EMENDAMENTO LEGISLATIVO
“RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI”

Articolo 1

Al Decreto Legislativo 30 giugno 2003, n. 196, all’articolo 4 comma terzo, è aggiunta la seguente lettera:

g-ter) “Responsabile della protezione dei dati personali” – la persona fisica in possesso delle capacità e dei requisiti professionali di cui all’art. 30 bis, 30 ter, 30 quater incaricata di coordinare la protezione dei dati personali e designata dal Titolare del trattamento.

Articolo 2

Al Decreto Legislativo 30 giugno 2003, n. 196, dopo l’articolo 30, sono aggiunti i seguenti articoli:

Articolo 30-bis
Designazione del responsabile della protezione dei dati personali

1. Il titolare o il responsabile del trattamento deve designare un responsabile della protezione dei dati personali nei seguenti casi:
a) se è un soggetto pubblico di cui al Capo II del Titolo III della Prima Parte;
b) se è un soggetto privato o un ente pubblico economico nel caso in cui svolga trattamento di dati sensibili relativi a un numero uguale o superiore a duemila interessati nell’arco di un periodo di dodici mesi, o attività che comportano, per loro natura, scopo o ambito applicativo, il regolare e sistematico monitoraggio di interessati o la loro geolocalizzazione.

2. Quando il titolare del trattamento è un soggetto pubblico, il responsabile della protezione dei dati personali può essere designato per più organi, tenendo conto della struttura organizzativa dell’ente o della pubblica autorità.

Articolo 30-ter
Posizione del Responsabile della protezione dei dati personali

1. Il titolare o il responsabile del trattamento assicura che il responsabile della protezione dei dati personali sia adeguatamente e tempestivamente informato su tutte le questioni relative alla protezione dei dati personali.

2. Il titolare o il responsabile del trattamento assicura che il responsabile della protezione dei dati personali svolga il proprio incarico con indipendenza e non riceva alcuna istruzione con riferimento all’esercizio della propria funzione. Il responsabile della protezione dei dati personali risponde e riferisce direttamente al consiglio di amministrazione o alla direzione generale del titolare o del responsabile del trattamento.

3. Il titolare o il responsabile del trattamento deve supportare il responsabile della protezione dei dati personali nello svolgimento delle sue funzioni e deve fornire tutti le risorse, inclusi personale, dispositivi, strumenti e ogni altra risorsa che risulti necessaria per svolgere i propri compiti e per mantenere la propria competenza professionale.

4. Il responsabile della protezione dei dati personali è tenuto al rispetto del segreto professionale con riferimento all’identità degli interessati e alle condizioni che li possono rendere identificabili, finché gli interessati non rilascino consenso libero e specifico.

5. Il titolare o il responsabile del trattamento deve designare il responsabile della protezione dei dati personali sulla base della qualificazione professionale e, in particolare, competenza ed esperienza in materia di diritto della protezione dei dati personali, nonché abilità pratica nella gestione dei compiti di cui al successivo articolo 30-quater. Il necessario livello di competenza dovrebbe essere determinato con particolare riferimento al tipo di trattamenti effettuati e al livello di protezione necessario per i dati trattati.

6. Il titolare o il responsabile deve assicurare che il responsabile della protezione dei dati personali non sia incaricato di altre mansioni o diversi impegni professionali che siano in contrasto di interessi con i compiti del responsabile della protezione dei dati personali

7. Il titolare o il responsabile del trattamento deve designare il responsabile del trattamento di dati personali per un periodo non inferiore a tre anni in caso di personale dipendente o di due anni in caso di affidamento a un responsabile della protezione dei dati personali che sia un fornitore esterno alla loro struttura. La designazione può essere rinnovata per ulteriori uguali periodi di tempo. Durante la vigenza dell’incarico, il responsabile della protezione dei dati personali può essere sostituito solo nel caso in cui non rispetti più i requisiti di competenza e abilità previsti dal presente articolo.

8. Il responsabile della protezione dei dati personali può essere impiegato internamente dal titolare o dal responsabile del trattamento, ovvero essere incaricato all’esterno con contratto di servizio.

9. Alla nomina deve essere data adeguata e tempestiva pubblicità sul sito web del titolare del trattamento e nell’informativa di cui all’articolo 13.

10 La nomina del Responsabile della protezione dei dati personali non esclude l’obbligo di vigilanza in capo al Titolare del trattamento in ordine al corretto espletamento da parte del delegato delle funzioni trasferite.

Articolo 30-quater
Compiti del responsabile della protezione dei dati personali

1. Il titolare o il responsabile del trattamento deve garantire che il responsabile della protezione dei dati personali svolga almeno le seguenti funzioni:
a) cura della consapevolezza e dell’aggiornamento del titolare e del responsabile e degli incaricati del trattamento, con riferimento ai loro obblighi in materia di protezione dei dati personali, in particolare con riferimento alle misure tecniche e organizzative, nonché documentazione della sua attività e dei riscontri ricevuti da tali soggetti;
b) verifica sull’adozione e applicazione di politiche del titolare o del responsabile del trattamento relative alla protezione dei dati personali, compresi gli incarichi e la formazione del personale coinvolto nel trattamento di dati personali e i relativi controlli;
c) verifica sull’adozione e applicazione delle norme in materia di protezione dei dati personali, con particolare riferimento alle misure di sicurezza, alle informative e al rispetto dei diritti degli interessati;
d) verifica sulla conservazione delle documentazioni obbligatorie previste dall’Allegato B e da altre norme in materia di protezione dei dati personali;
e) verifica sul fatto che siano rispettate le procedure in materia di notificazione di cui all’articolo 32-bis e 37;
f) verifica sul fatto che siano effettuate le verifiche preliminari di cui all’articolo 17 se necessarie;
g) verifica sul fatto che sia dato riscontro a richieste del Garante per la protezione dei dati personali e, nei limiti della propria competenza, collaborazione con le autorità competenti in caso di richieste;
h) relazione scritta, almeno trimestrale, al consiglio di amministrazione o alla direzione generale delle criticità riscontrate nelle attività di verifica di cui alle lettere precedenti.

Articolo 3

All’articolo 162 comma 2-bis del Decreto Legislativo 30 giugno 2003, n. 196, dopo le parole “delle misure indicate” sono aggiunte le seguenti: “negli articoli 30-bis, 30-ter, 30-quater, e “. Dopo le parole “Nei casi di cui” sono aggiunte le seguenti: “agli articoli 30-bis, 30-ter, 30-quater, e “.

 

Nota esplicativa

Tali previsioni ricalcano, in sostanza, quanto già proposto dalla Commissione Europea e approvato dal Parlamento UE nel testo di Regolamento sulla protezione dei dati personali, ora in fase di discussione in seno al Consiglio della UE, con riferimento al Responsabile della privacy nelle strutture che eseguono trattamenti di dati che presentano rischi specifici per la libertà e la dignità dei cittadini. Si intende dunque introdurre tale figura professionale cruciale per la tutela effettiva e non formalistica della privacy e dei dati personali nelle aziende (grandi o ad elevato rischio privacy) e negli enti pubblici italiani, in attesa che la nuova normativa europea venga definitivamente approvata e diventi applicabile (non prima del 2017, stando ai tempi previsti nella bozza e dal Consiglio Europeo del 25 ottobre 2013).

L’articolo 1 della presente proposta modifica l’articolo 4 del Codice in materia di protezione dei dati personali, introducendo la definizione di Responsabile della protezione dei dati.

L’articolo 2 della presente proposta introduce nel Codice in materia di protezione dei dati personali tre nuovi articoli (30-bis, 30-ter e 30-quater).
In particolare, l’articolo 30-bis prevede la figura obbligatoria del responsabile della protezione dei dati per il settore pubblico e, nel settore privato, allorquando le attività del titolare del trattamento o del responsabile del trattamento consistono in trattamenti di dati sensibili relativi a un numero uguale o superiore a duemila interessati nell’arco di un periodo di dodici mesi o in trattamenti di dati personali che richiedono il controllo regolare e sistematico degli interessati.
L’articolo 30-ter precisa la posizione del responsabile della protezione dei dati, sottolineando che esso può essere interno o esterno ma sempre dotato di competenza, esperienza e indipendenza.
L’articolo 30-quater stabilisce i principali compiti del responsabile della protezione dei dati, che in sostanza deve occuparsi di verificare e coordinare le azioni di adempimento alla normativa in materia di protezione dei dati personali per conto di titolari o responsabili del trattamento.

L’articolo 3 della presente proposta modifica l’articolo 162 comma 2-bis del Codice in materia di protezione dei dati personali, introducendo una sanzione amministrativa pecuniaria, non pagabile in misura ridotta, per chiunque non ottemperi alle disposizioni dei nuovi articoli 30-bis, 30-ter, 30-quater.

———————————————-