Innovazione.PA gennaio-febbraio 2018

innovazione.PA

01-02/2018

| ANNO XV GENNAIO - FEBBRAIO

Questa nuova figura, che il Regolamento richiede sia individuata in funzione

delle qualità professionali e della conoscenza specialistica della normativa

e della prassi in materia di protezione dati, costituisce il fulcro del processo

di attuazione del principio di “responsabilizzazione”. Il diretto coinvolgimento

del RPD in tutte le questioni che riguardano la protezione dei dati personali,

sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del

processo di adeguamento in atto. In questo ambito, sono da tenere in attenta

considerazione i requisiti normativi relativamente a: posizione (riferisce

direttamente al vertice), indipendenza (non riceve istruzioni per quanto

riguarda l’esecuzione dei compiti) e autonomia (attribuzione di risorse umane

e finanziarie adeguate).

Designare

il Responsabile

della protezione

dei dati

Per sostenere la PA

nella fase di adeguamento al GDPR,

il Garante per la protezione dei dati personali

indica le

3 misure alle quali dare priorità

È essenziale avviare quanto prima la ricognizione dei trattamenti svolti e

delle loro principali caratteristiche (finalità del trattamento, descrizione

delle categorie di dati e interessati, categorie di destinatari cui è prevista

la comunicazione, misure di sicurezza, tempi di conservazione e ogni altra

informazione che il titolare ritenga opportuna al fine di documentare le

attività di trattamento svolte) funzionale all’istituzione del Registro. La

ricognizione sarà l’occasione per verificare anche il rispetto dei principi

fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della

base giuridica, artt. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure

a protezione dei dati fin dalla progettazione e l’impostazione (privacy by

design e by default, art. 25), in modo da assicurare, entro il 25 maggio, la

piena conformità dei trattamenti in corso (cons. 171);

Istituire il

Registro delle

attività di

trattamento

Fondamentale appare anche, nell’attuale contesto caratterizzato da una

crescente minaccia alla sicurezza dei sistemi informativi, la pronta attuazione

delle nuove misure relative alle violazioni dei dati personali, tenendo in

particolare considerazione i criteri di attenuazione del rischio come indicati

dalla disciplina e individuando, quanto prima, idonee procedure organizzative

per dare attuazione alle nuove disposizioni.

Notificare le

violazioni dei

dati personali