Società, un bilancio dopo l’approvazione del Regolamento Ue
Sono trascorsi quasi tre mesi da quando è entrata in vigore la normativa sulla privacy, meglio nota come GDPR, acronimo di General Data Protection Regulation.
Alcune società ritengono che il DPO abbia tra le sue funzioni quella di provvedere in modo completo all’attività di adeguamento alla recente normativa, e gli attribuiscono una serie di adempimenti che il titolare del trattamento avrebbe dovuto compiere tra il maggio di due anni fa e il maggio di quest’anno. Secondo alcuni, questo tipo di approccio non rispetta il dettato dell’articolo 37 del GDPR ed è potenzialmente pericoloso per due ragioni. La prima di natura pratica, la seconda di natura giuridica.
In relazione a quella pratica, il DPO si dovrebbe occupare dell’adeguamento, rischiando di non avere tempo di svolgere alcune attività fondamentali in questa fase iniziale, come la formazione/informazione, la sorveglianza e la collaborazione nelle DPIA (valutazione d’impatto sulla protezione dati). In relazione a quella giuridica, alcune attività non possono essere attribuite a un soggetto che avrebbe il compito di sorvegliare l’osservanza del regolamento, perché controllore e controllato rischiano di coincidere.
Una possibile soluzione sarebbe definire al titolare del trattamento i compiti previsti dall’articolo 37 del GDPR, formalizzando un piano di attività che rappresenti in modo evidente al titolare del trattamento le attività da svolgere per garantire l’osservanza del regolamento.
La valutazione d’impatto sulla protezione dei dati (DPIA, “Data Protection Impact assessment”) è un processo rivolto a garantire e dimostrare la conformità al regolamento europeo e i rischi legati al trattamento dei dati. Si concretizza in uno studio dettagliato dei rischi legati a uno specifico trattamento che comprenda anche uno studio tecnico giuridico sulle misure da affrontare per mitigare il rischio in questione.
La collaborazione nella conduzione di una DPIA presuppone un lavoro di coordinamento al quale devono prendere parte diverse competenze che esclusivamente una società di grandi dimensioni può reperire al suo interno, e molto spesso le risorse si devono trovare all’esterno. Come in qualunque professione che ha una funzione di controllo e vigilanza rappresenta di sicuro un tasto dolente.
Nelle linee guida pubblicate prima dell’entrata in vigore del Regolamento Ue dal Gruppo europeo dei Garanti si ribadisce che l’articolo 38, paragrafo 2, del GDPR obbliga il titolare del trattamento o il responsabile del trattamento a sostenere il DPO “fornendogli le risorse necessarie per assolvere i suoi compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica. Queste risorse non sono esclusivamente economiche, ma anche di struttura interna e di tempo necessario a svolgere i suoi compiti.
Il mancato rispetto del requisito previsto dall’articolo 38 rischia di rendere vano il ruolo del DPO soprattutto in questa fase iniziale. Una volta avviato un processo di gestione organizzato del dato personale in una società, le richieste economiche e di risorse fatte da un DPO diminuiranno nel tempo in modo progressivo.
Volume consigliato
Le strutture societarie: caratteristiche a confronto
Alessandra Concas, 2018, Maggioli Editore
La presente trattazione è incentrata sulle dinamiche societarie.
Inizia con la definizione del contratto di società e prosegue con la disciplina giuridica e le caratteristiche di questi enti, elencando in modo dettagliato i caratteri dei vari tipi di società e…
9,90 € 8,42 € Acquista
su www.maggiolieditore.it
The post Società, un bilancio dopo l’approvazione del Regolamento Ue appeared first on Diritto.it.
Source: Diritto.it