itenfrdees

Promos Ricerche è un Consorzio senza fini di lucro. SCOPO: La promozione e l’introduzione dell’innovazione in qualsiasi forma e settore. Scopri di più.

News

News - Responsabilità Sociale

News - Responsabilità Sociale (235)

Regolamento GDPR. Aggiornato il software per la valutazione di impatto

Regolamento GDPR. Aggiornato il software per la valutazione di impatto

Disponibile sul sito del Garante Privacy l'aggiornamento, alla versione 1.6.3 con nuove funzionalità, del software per la valutazione di impatto sulla protezione dei dati.

Il software offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

Il software qui presentato non costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d'impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d'impatto che va integrata in ragione delle tipologie di trattamento esaminate.

È inoltre bene ricordare che la valutazione d'impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

AdA

Scarica la nuova versione del software

Leggi tutto...
Offerta più vantaggiosa, in Gazzetta le linee guida Anac n. 2 aggiornate al Correttivo

Offerta più vantaggiosa, in Gazzetta le linee guida Anac n. 2 aggiornate al Correttivo

Dopo l'approvazione definitiva da parte dell'Anac, sono state pubblicate anche nella Gazzetta Ufficiale n. 120 del 25 maggio le linee guida n.2 sull'offerta economicamente più vantaggiosa, riviste alla luce del decreto Correttivo della riforma appalti. Il documento punta a dare nuove indicazioni a stazioni appaltanti e imprese sui casi in cui core l'obbligo ricorrere alla valutazione delle offerte senza tenere conto solo del prezzo e l'elenco delle situazioni che invece autorizzano la stazione appaltante ad aggiudicare al massimo ribasso.

Nel documento, utile ma non vincolante per le amministrazioni, l'Autorità recepisce e anche le altre novità normative introdotte dal Dlgs 57/2017: a partire dal tetto massimo del trenta per cento ai punti riservati alla componente economica, fino al divieto di attribuzione - in caso di aggiudicazione con il criterio dell'offerta economicamente più vantaggiosa - di un punteggio per l'offerta di opere aggiuntive rispetto a quanto previsto nel progetto esecutivo posto a base d'asta.

AdA

Scarica le linee guida Anac n. 2

Fonte Edilizia e Territorio MS

Leggi tutto...
Avvalimento e soccorso istruttorio, da ANAC una guida

Avvalimento e soccorso istruttorio, da ANAC una guida

Rendere più immediate le norme del Codice Appalti riguardanti l’avvalimento e il soccorso istruttorio. È l’obiettivo con cui l’Autorità nazionale anticorruzione (Anac) ha redatto il vademecum che dovrebbe consentire a professionisti, imprese e Stazioni Appaltanti di non commettere errori tali da rischiare l’esclusione dalle gare.

La rassegna offre una rappresentazione del percorso interpretativo della disciplina in materia di soccorso istruttorio e avvalimento compiuto dall’Autorità attraverso i pareri di precontenzioso emessi nel corso del 2017.

Le massime dei pareri resi sui due istituti, corredate da sintetiche indicazioni relative alla disciplina di riferimento e, se del caso, alla posizione della giurisprudenza amministrativa, sono state commentate e riunite in un testo unitario, suddiviso in capitoli, al fine di orientare l’esercizio dell’azione amministrativa.

AdA

Scarica il documento

Leggi tutto...
Responsabile della Protezione dei Dati - procedura per la comunicazione dei dati di contatto

Responsabile della Protezione dei Dati - procedura per la comunicazione dei dati di contatto

Disponibile sul sito del Garante per la protezione dei dati personali, la procedura on-line per la comunicazione del nominativo del Responsabile della Protezione dei Dati.

In base all'articolo 37, paragrafo 7 del Regolamento UE/2016/679 occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato.

Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP 243 rev. 01 - punto 2.6).

Si ricorda, infatti, che in base all'articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.

Sul sito dell'Autorità è disponibile una procedura online per la comunicazione del nominativo.

Per facilitare i soggetti tenuti all'adempimento, nella sezione dedicata alla procedura, è presente anche un facsimile in formato .pdf - da non utilizzare per la comunicazione al Garante - che consente di familiarizzare con l'adempimento e verificare, prima di iniziare la compilazione online, quali saranno le informazioni richieste.

AdA

Vai alla procedura on-line

Scarica il fac-simile

Scarica le istruzioni per la compilazione

Scarica le Linee guida sui responsabili della protezione dei dati

Leggi tutto...
Privacy, check list dei commercialisti per gli studi

Privacy, check list dei commercialisti per gli studi

Il conto alla rovescia è iniziato: il 25 maggio sarà operativo il regolamento europeo sulla privacy e il Consiglio nazionale dei dottori commercialisti ha messo a punto, insieme alla Fondazione della categoria, un vademecum completo di check list per farsi trovare preparati all’appuntamento.

Non si tratta, però, solo di adempimenti. Il documento “Il regolamento Ue/2016/679 General Data Protection Regulation (GDPR): nuove regole comunitarie e precisazioni in materia di protezione dei dati personali”, infatti, prospetta al professionista anche la possibilità di lavorare nel settore della privacy. Lo fa nella parte relativa alla nuova figura del Dpo (data protection officer o responsabile della protezione dei dati), ricordando che la tutela della riservatezza rientra tra le materie della formazione professionale e che già da anni «una moltitudine di iscritti all’Albo» svolge attività di consulenza nel campo della privacy. Tanto basta per consentire a quei professionisti di cimentarsi anche nel ruolo di Dpo, perché al momento non sono previste particolari certificazioni. Fondamentale è, invece, che gli aspiranti Dpo tengano «in apposita considerazione i requisiti di indipendenza» prescritti dal regolamento per tale profilo. Per questo «dovranno essere valutate attentamente eventuali situazioni potenzialmente idonee a generare un conflitto di interesse».

Il Dpo non è solo opportunità professionale, ma anche adempimento: la sua nomina non è obbligatoria per i liberi professionisti che operano in forma individuale, tuttavia il Garante - ricorda il vademecum - ne raccomanda la designazione. Indicazione che si unisce alle altre che il documento fornisce per consentire al titolare dello studio di organizzare l’attività in linea con le nuove regole europee. Tutto deve ruotare intorno al principio di accountability, ovvero la predisposizione di modelli organizzativi che consentano l’applicazione del regolamento e, al contempo, riducano al minimo il rischio delle salate sanzioni. Un traguardo che si può raggiungere attraverso una check list che permette un’auto-valutazione del proprio studio. Con l’avvertenza, però, che la sua mera compilazione «non va intesa come strumento sufficiente per ottenere la conformità dell’organizzazione dello studio alle disposizioni del Gdpr» (l’acronimo inglese che indica il regolamento europeo). In attesa, infatti, di un sistema di certificazione della privacy (che il regolamento prevede anche attraverso l’adozione di sigilli e marchi: una sorta di “bollino di qualità”) il titolare dello studio dovrà dimostrare di aver valutato tutti gli aspetti della propria attività e progettato la tutela dei dati di conseguenza.

La check list è di ausilio in questo compito. Si parte con la ricognizione dei dati personali trattati (quelli dei clienti, dei fornitori e dei dipendenti, tirocinanti compresi) e della loro tipologia; si prosegue con le finalità di quei trattamenti e delle basi che li legittimano (per esempio, all’interno di un contratto o dietro un consenso esplicito); si accerta se risultano assicurati i diritti degli interessati (ovvero, dei “proprietari” dei dati, che possono chiedere, per esempio, la rettifica o la portabilità delle informazioni); si verifica se sono state predisposte in modo corretto le autorizzazioni da parte del titolare nei confronti degli incaricati del trattamento (dipendenti, collaboratori e tirocinanti dello studio); si predispongono le misure di protezione (per esempio: antivirus, armadi chiusi a chiave, dispositivi anti-intrusione); si disegna un piano in caso di violazione dei dati (data breach), così da poter valutare con rapidità se il danno deve essere comunicato al Garante (lo si deve fare entro 72 ore).

Il vademecum ricorda, infine, i criteri per la messa a punto dell’informativa da fornire al momento della raccolta dei dati e della richiesta del consenso, nonché dei tempi di conservazione delle informazioni. Ammonendo, da ultimo, che il sistema della privacy va costantemente aggiornato e adeguato all’assetto dello studio.

AdA

Scarica il vademecum completo di check list

Fonte Sole24Ore AC

Leggi tutto...
Codice Appalti, pubblicato il bando tipo per le gare di progettazione oltre i 100mila euro

Codice Appalti, pubblicato il bando tipo per le gare di progettazione oltre i 100mila euro

L’Autorità nazionale anticorruzione (Anac) ha messo a punto il bando tipo n.3, sull’affidamento dei servizi di ingegneria e architettura di importo pari o superiore a 100mila euro con procedura aperta e offerta economicamente più vantaggiosa. Il testo sarà in consultazione fino al 13 giugno. Il bando tipo è uno strumento pensato per dare omogeneità alle procedure di gara e aiutare le Stazioni Appaltanti nella redazione dei documenti e nell’espletamento delle procedure di appalto.

Nel bando tipo n.3 viene innanzitutto ribadito l'obbligo di determinare i compensi da porre a base di gara sulla base del Decreto Parametri (DM 17 giugno 2016). I requisiti di fatturato possono essere sostituiti con il possesso di un'adeguata copertura assicurativa contro i rischi professionali. Se la gara consiste solo nell'affidamento dei servizi di progettazione, di redazione del piano della sicurezza e coordinamento e di compiti di supporto al Rup, la Stazione Appaltante non può chiedere la garanzia provvisoria. Negli altri casi, l'importo della garanzia provvisoria sarà calcolato al netto degli importi relativi alle attività di progettazione, di redazione del piano della sicurezza e coordinamento e di compiti di supporto al Rup.

I requisiti di idoneità professionale saranno esclusi dall'avvalimento, mentre per i requisiti di capacità tecnica potranno essere oggetto di avvalimento.

Oltre ad un fac-simile di disciplinare di gara, ci sono due allegati contenenti l’esempio dei criteri di valutazione dell’offerta tecnica e un esempio di schema di presentazione dell’offerta tecnica. In particolare viene spiegato come dimostrare la professionalità e l’adeguatezza dell’offerta, quali devono essere le caratteristiche metodologiche dell’offerta e come indicare i criteri premianti.

Il disciplinare ribadisce che l’aggiudicatario dei servizi di progettazione non potrà partecipare agli appalti di lavori pubblici, nonché agli eventuali subappalti o cottimi, derivanti dall’attività di progettazione svolta. L’aver progettato l’opera comporta infatti dei vantaggi competitivi in grado di falsare la concorrenza. Il disciplinare fornisce, inoltre, indicazioni sulla durata del contratto, sull’oggetto e la possibilità di suddivisione in lotti, sui soggetti ammessi e le condizioni per la partecipazione.

AdA

Scarica il bando tipo n° 3
 

Leggi tutto...
Codice Appalti, bloccata la linea guida ANAC n. 7 sulle concessionarie

Codice Appalti, bloccata la linea guida ANAC n. 7 sulle concessionarie

Con il parere 1152/2018, il Consiglio di Stato ha bloccato le linee guida dell’Anac n. 7 sul limite 80 – 20 per gli affidamenti in house delle concessionarie. Il CdS ha chiesto all’Anac una serie di spiegazioni sul testo, che sembra prestarsi a molteplici interpretazioni. Nel frattempo la norma resta congelata. Uno degli obiettivi del Codice Appalti (D.lgs. 50/2016) è la riduzione degli affidamenti in-house, cioè senza bando, a società controllate dalle Amministrazioni.

Una società è considerata in-house se l’Amministrazione o l’ente aggiudicatore esercita su di essa un controllo “analogo a quello esercitato sui propri servizi”. La società in house non può avere nessuna autonomia: oltre l’80% delle attività svolte devono essere effettuate per conto dell’Amministrazione che le controlla e non devono esserci partecipazioni di capitali privati.

Allo stesso tempo, gli affidamenti in house sono possibili per la produzione di un servizio di interesse generale, la progettazione e realizzazione di un'opera pubblica sulla base di un accordo di programma fra amministrazioni pubbliche, la realizzazione e gestione di un'opera pubblica attraverso un contratto di partenariato, l’autoproduzione di beni o servizi strumentali all'ente o agli enti pubblici partecipanti, servizi di committenza a supporto di enti senza scopo di lucro.

In base al Codice Appalti e alle linee guida n.7, per le concessioni di importo pari o superiore a 150mila euro, non affidate con la formula della finanza di progetto o con gara pubblica, la concessionaria ha l’obbligo di affidare con gara almeno l’80% del valore dei lavori, servizi o forniture. Gli affidamenti in-house, cioè a società controllate dall’Amministrazione, possono ammontare al massimo al 20% del valore.

L’importo di 150 mila euro si riferisce al valore della concessione, non a quello dell’appalto da affidare (con gara o in house). Questo significa che i titolari di una concessione di valore pari o superiore a 150mila euro dovranno conteggiare nel limite 80-20 tutti i contratti, anche quelli di piccolo importo.

La normativa precedente prevedeva l’obbligo di affidare con gara almeno il 60% del valore dei lavori, servizi o forniture e la possibilità di affidare in house il 40% del valore. Questi limiti più permissivi sono rimasti in vigore solo per le concessionarie autostradali.

Per dare al sistema il tempo di adeguarsi, l’Anac ha inoltre previsto un periodo transitorio, che è scaduto il 19 aprile scorso. Entro questo termine, i titolari delle concessionarie hanno quindi dovuto rinnovare i contratti eventualmente scaduti adeguandosi ai limiti 80-20, quindi, se necessario, bandendo gare pubbliche o attivando la procedura del project financing. A partire dal 19 aprile sono stati previsti controlli annuali. L’obbligo di attenersi al limite 80-20 deve essere rispettato anno per anno, non su base pluriennale.

 

Il Consiglio di Stato ha considerato poco chiare le linee guida dell’Anac e ha chiesto chiarimenti su cinque punti prima di esprimersi. I giudici hanno chiesto innanzitutto di chiarire inequivocabilmente se le linee guida si applicano anche ai settori speciali, cioè ai contratti nel settore dell’energia, dell’acqua e dei trasporti. A detta del CdS, si tratta di un’ipotesi da escludere dal momento che, in base all’articolo 7 del Codice Appalti, le regole sui limiti 80-20 non si applicano alle concessioni e agli appalti nei settori speciali aggiudicati da un ente aggiudicatore a un’impresa collegata.

Il CdS ritiene che potrebbero crearsi degli equivoci sul periodo transitorio. Le linee guida stabiliscono che l’adeguamento ai nuovi limiti 80-20 è effettuato man mano che i contratti in essere vengono a scadenza. Secondo i giudici, questa affermazione potrebbe essere intesa in contraddizione rispetto al Codice Appalti, che ha concesso un periodo di adeguamento di due anni (terminato il 19 aprile 2018). Il problema non si pone per i contratti che, scadendo durante il periodo transitorio, vengono rinnovati secondo le nuove regole, ma per quelli che, avendo una scadenza successiva al 18 aprile 2018 potrebbero essere considerati validi fino alla loro naturale scadenza. Sulla base di questo dubbio, i giudici hanno chiesto di definire in modo chiaro se i contratti devono essere sciolti anticipatamente, e stipulati nuovamente attenendosi al limite 80-20, o se è possibile attendere la loro scadenza naturale.

Per effettuare in modo efficace i controlli sul rispetto delle nuove regole, il CdS ha chiesto all’Anac di spiegare se l’obbligo di affidare l’80% dei contratti con gara decorre dal momento dell’indizione della gara, dell’aggiudicazione o della firma del contratto e se va considerato l’importo della gara o quello del contratto firmato.

Il Consiglio di Stato ritiene inoltre utile esplicitare a quali procedure attenersi nei bandi di gara.  I giudici non sanno infatti se per bandire le gare pubbliche tutti i concessionari devono rispettare integralmente i contenuti del Codice Appalti o se bisogna attenersi ai limiti previsti dall’articolo 164, comma 5 del Codice, in cui però “non ci sono specifiche indicazioni sulle procedure di evidenza da seguire”.

Le linee guida dell’Anac prevedono infine l’obbligo dei concessionari di elaborare un programma annuale degli affidamenti, da trasmettere ai rispettivi concedenti. Secondo il CdS, si tratta di una disposizione che non ha una copertura normativa e che non avrebbe un valore vincolante.

AdA

Leggi tutto...
Regolamento UE. Un software per la valutazione di impatto

Regolamento UE. Un software per la valutazione di impatto

La CNIL, l'Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione della valutazione d'impatto sulla protezione dei dati (DPIA).

Il software, la cui versione in lingua italiana è stata messa a punto con la collaborazione del Garante per la protezione dei dati personali, offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

Occorre sottolineare che il software è in continua evoluzione, con revisioni introdotte anche sulla base dell'esperienza raccolta e delle segnalazioni degli utenti.

Il software non costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d'impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d'impatto che va integrata in ragione delle tipologie di trattamento esaminate.

È inoltre bene ricordare che la valutazione d'impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

AdA

Scarica il software

Leggi tutto...
Regolamento Ue sulla privacy. Online la Guida applicativa aggiornata

Regolamento Ue sulla privacy. Online la Guida applicativa aggiornata

Il Garante per la protezione dei dati personali mette a disposizione l'aggiornamento 2018 della Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali. Il documento - che traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa - è stato in parte modificato e integrato alla luce dell'evoluzione della riflessione a livello nazionale ed europeo. Il testo potrà subire ulteriori aggiornamenti, allo scopo di offrire sempre nuovi contenuti e garantire un aggiornamento costante.

La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018. Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).

Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci. La presente Guida è soggetta a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo.

AdA

Scarica la Guida applicativa

Leggi tutto...
Ambito Privato e RDP, nuove FAQ Garante Privacy

Ambito Privato e RDP, nuove FAQ Garante Privacy

Sul sito del Garante per la protezione dei dati personali sono disponibili nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato (in aggiunta a quelle adottate dal Gruppo Art. 29 in Allegato alle Linee guida sul RPD):

  1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

Il responsabile della protezione dei dati personali (data protection officer – DPO) è una figura prevista dall'art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo. Coopera con l'Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; (faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

  1. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti.

  1. Chi sono i soggetti privati obbligati alla sua designazione?

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di "monitoraggio regolare e sistematico" e di "larga scala", v. le "Linee guida sui responsabili della protezione dei dati" del 5 aprile 2017, WP 243). Il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

  1. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?

Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria").

In ogni caso, resta comunque raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

  1. È possibile nominare un unico responsabile della protezione dei dati personali nell'ambito di un gruppo imprenditoriale?

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all'art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di "raggiungibilità", v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

  1. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l'incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l'effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nell'esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell'osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).

I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario - anche se potrebbe rappresentare una buona prassi - pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un'informazione utile o necessaria. Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all'Autorità di controllo.

  1. Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

  1. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un "dipendente" del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).

Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo.

AdA

Scarica le Linee guida sul RPD

fonte Garante Privacy

Leggi tutto...
Sottoscrivi questo feed RSS