Previsioni Normative

La figura del DPO – Data Proction Officer –, anche chiamato Responsabile protezione dati, è stata introdotta dal nuovo Regolamento sulla protezione dei dati 2016/679 (GDPR). Tale Regolamento è stato pubblicato sulla Gazzetta Ufficiale Europea lo scorso 4 maggio 2016 e si applicherà in tutti i 27 Stati membri UE a decorrere dal 25 maggio 2018.

L’art. 37 prevede l’obbligatorietà della nomina di un DPO per le seguenti circostanze:

  1. Autorità pubblica o organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali.
  2. Qualora le attività del Titolare/Responsabile del trattamento consistano in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
  3. Qualora le attività del Titolare/Responsabile del trattamento consistano in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala di categorie particolari di dati personali o di dati personali relativi a condanne penali e reati.

La designazione obbligatoria di un DPO può essere prevista anche in base a legge nazionale o al diritto comunitario.

Le linee guida evidenziano come la designazione del DPO rappresenti la base di un buon processo di adeguamento alla normativa in essere e pertanto incoraggiano un approccio “cautelativo”, definendo la nomina del DPO una “buona prassi”.

Nell’ottica del principio di accountability contenuto all’interno del Regolamento sulla protezione dei dati 2016/679, nel caso in cui gli obblighi elencati dalle linee guida del Regolamento stesso non vengano puntualmente rispettati, i Titolari/Responsabili del trattamento dovranno motivare per iscritto le ragioni che hanno scaturito una determinata decisione (es. non nominare un DPO). Tali motivazioni dovranno essere espresse in modo articolato poiché dalla “robustezza” delle stesse dipenderanno anche le eventuali sanzioni.

SANZIONI

Sono previste sanzioni amministrative nei casi di mancata predisposizione e adesione al Regolamento Generale europeo sulla protezione dei Dati.

Sanzioni fino a Euro 20.000.000,00 oppure al 4% del fatturato mondiale se vengono violati:

Principi relativi al trattamento ed al consenso;

  • Disposizioni relative ai diritti dell’interessato;
  • Disposizioni in materia di trasferimento dati;
  • Violazione di ordine di cessazione del trattamento;

Sanzioni fino al 2% del fatturato mondiale se vengono violate:

  • Notifica Data Breach alle Autorità competenti;
  • Notifica Data Breach agli interessati.

IL RISCHIO INFORMATICO

Gli attacchi informatici posso colpire qualunque azienda privata o pubblica che faccia affidamento su applicazioni, dispositivi e sistemi collegati alla rete.

Un cyber-incident comporta l’interruzione delle attività, il rischio di una perdita in termini di reputazione nei confronti di clienti e del mercato e la minaccia di una richiesta di risarcimento dopo una violazione dei dati.

Il costo annuo stimato in Italia per gli attacchi cyber è di 900.000.000 USD.