General Data Protection Regulation

Responsabili esterni

Netlux offre un servizio di consulenza GDPR a Roma per supportare aziende e professionisti nell’orientarsi all’interno della complessa e intricata nuova disciplina europea. La consulenza include la revisione delle modalità di esecuzione dei processi aziendali per renderli conformi alle previsioni del GDPR e tutto quanto necessario all’assolvimento degli oneri posti a carico dell’azienda, includendo il necessario supporto nell’identificazione e nella scelta delle figure esterne che hanno un ruolo operativo nel GDPR, specialmente quando si tratta di affidare ruoli che prevedano il trattamento dei dati personali in outsourcing.

Oltre al necessario adattamento organizzativo, le regole UE in tema di tutela dei dati personali e sulla responsabilità connessa al loro trattamento hanno costretto le aziende europee a fare i conti con una serie di nuovi concetti e termini come Data ProcessorData ControllerData Subject; il regolamento europeo sulla protezione dei dati non si è infatti limitato a disciplinare la materia sotto il profilo normativo, ma ha anche identificato e definito delle specifiche figure che, sia dentro che fuori dell’azienda, collaborano e interagiscono con il titolare del trattamento.

Il titolare del trattamento, che nella normativa viene denominato Data Controllerstabilisce modalità e finalità del trattamento delle informazioni, mettendo in atto misure di sicurezza adeguate a garantire principi quali: trasparenza, correttezza e riservatezza.

Diversa è la figura dei responsabili del trattamento (o Data Processor), che sono le persone fisiche o aziende terze che si occupano del trattamento dati su delega e per conto del titolare. Le misure tecniche da adottare seguono un procedimento di progettazione ad hoc, per tutelare e agevolare l’esercizio dei diritti dell’interessato (o Data Subject) e il ruolo di responsabile del trattamento dei dati (esterno all’azienda) può essere ricoperto da uno studio commerciale, una fornitore di servizi internet o un’agenzia di marketing.

Sia nell’ambito dell’organizzazione interna (a carico del Data Controller) che di affidamento esterno con delega al GDPR Data Processor (a carico di quest’ultimo), occorre curare con estrema attenzione i processi di Risk Assessment e Risk Evaluation (valutazione dei rischi), stabilendo apposite procedure di Risk Management (gestione dei rischi). Questo segmento dell’attività di adeguamento GDPR è fondamentale per prevenire violazioni di dati (cd. Data Breach), stimarne le conseguenze e definire protocolli di intervento. L’analisi delle vulnerabilità potenziali ed il supporto dei consulenti esterni sono di importanza essenziale, specie quando sia prevista la collaborazione congiunta di varie figure esterne (responsabile del trattamento dei dati e sub-responsabili).

In quest’ottica assume particolare valenza l’istituzione del Data Protection Officer (Responsabile della Protezione Dati), con compiti di consulenza e assistenza del titolare, del responsabile e anche del personale operativo coinvolto nel trattamento delle informazioni sensibili. Il DPO in pratica: supporta la pianificazione dei percorsi di formazione dei dipendenti, esegue la valutazione dei rischi (risk evalutation), vigila e verifica l’osservanza del GDPR per la sicurezza (quindi come sopra Data Protection) e coopera con il Garante della privacy come organo di collegamento.

Netlux, grazie alla propria professionalità certificata, alla conoscenza particolareggiata dell’ambito normativo del GDPR, ed all’esperienza ventennale in ambito IT, è in grado di svolgere il ruolo di Data Protection Officer con affidabilità e puntualità. Tutte le attività di supporto e affiancamento alle figure del titolare e del responsabile del trattamento vengono eseguite garantendo l’assolvimento degli obblighi normativi e con l’assunzione delle specifiche responsabilità previste per la figura del Data Protection Officer.

A completare la panoramica delle nuove figure previste dal GDPR vi è infine il Joint Controller, ovvero il Responsabile Congiunto o Co-titolare del trattamento dei dati, che individua un soggetto esterno che partecipa in modo collaborativo al trattamento dei dati. Un esempio di Joint Controller è il provider di servizi web o cloud, a cui viene affidato lo storage dei dati per finalità di archiviazione o back-up, ipotesi nella quale la titolarità del trattamento dei dati è condivisa, e vengono definite con esattezza le competenze e le responsabilità di privacy policy in ottemperanza alla normativa.