Pillola 16

IL “FARE” DEL DPO

Dal punto di vista operativo, come deve agire il Responsabile della Protezione dei dati personali?

Qual è il modo di procedere più conveniente quando un problema relativo alla protezione dei dati personali è posto alla sua attenzione?

IL “FARE” – NORME E DOCUMENTI DI RIFERIMENTO

Regolamento europeo e Codice Privacy, ovviamente, devono essere sempre a portata di mano e sono i primi documenti da consultare in caso di dubbi.

Altri documenti di supporto alle valutazioni sono tipicamente costituiti da quanto rilasciato sull’argomento dall’Autorità di controllo (Codici di deontologia, autorizzazioni, vademecum, provvedimenti), da leggi collegate che possono avere un peso sulle decisioni da prendere o da indicazioni emesse dalle associazioni di Categoria.

Per tematiche relative a dipendenti e collaboratori, ad esempio, non si può prescindere dalla conoscenza del contratto collettivo applicato e delle leggi sull’impiego.

IL “FARE” – LE CARATTERISTICHE DEL TRATTAMENTO

Categorie e numerosità dei dati trattati hanno un peso importante nelle valutazioni, come pure le modalità di raccolta, di aggiornamento e di conservazione dei dati, le dotazioni di sicurezza e le modalità di trattamento adottate.

Ogni decisione deve tenere contro di quello che l’organizzazione fa e di come lo fa.

Le indicazioni contenute nel Registro dei Trattamenti, ove presente, permettono di orientarsi e di comprendere come sono svolte le operazioni sui dati personali.

IL “FARE” – IL CONTESTO SPECIFICO

Il livello di consapevolezza e le abitudini di dipendenti e collaboratori devono essere ugualmente valutate per comprendere se siano necessari aggiustamenti, comunicazioni mirate o modifiche ai processi operativi.

La conoscenza del settore di mercato in cui opera l’organizzazione, delle sue caratteristiche operative e degli obiettivi di business sono parte essenziale del bagaglio di competenze che permettono di svolgere al meglio i  compiti assegnati al DPO.

IL “FARE” – OBIETTIVI AZIENDALI NEL RISPETTO DELLA CONFORMITÀ

Bisogna ancora una volta sottolineare che è sempre obbligatorio rispettare e gestire i diritti degli interessati e che ogni intervento deve avere l’obiettivo di consentire il trattamento nel rispetto della conformità.

La salvaguardia della reputazione del soggetto che effettua i trattamenti è un importante obiettivo, al cui raggiungimento concorre l’attività tesa alla riduzione del rischio.  Qualora la riduzione del rischio non sia possibile, o ci siano rischi che fino a quel momento non sono stati correttamente valutati, il Responsabile della Protezione dei dati personali deve portarli all’attenzione del vertice aziendale per le opportune azioni.

La responsabilità delle decisioni, infatti, spetta sempre al Titolare del trattamento e non può essere delegata.

Le prossime pillole conterranno indicazioni e suggerimenti per alcune particolari situazioni di trattamento.