EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
30/05/2023 Indagine del Garante su comunicazione dati di contatto RPD
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Il titolare del trattamento o il responsabile del trattamento:

  • pubblica i dati di contatto delResponsabile della protezione dei Dati (DPO/RPD)
  • comunica i dati di contatto suddetti all'Autorità di controllo, vale a dire al Garante per la protezione dei dati personali.

Lo dispone l’articolo 37, comma 7, del Regolamento (UE) 2016/679.

Sebbene questa disposizione sia chiara nel suo contenuto precettivo, tuttavia, è necessario chiedersi se è stata effettivamente attuata e, inoltre, se è stata attuata in maniera corretta.

Il Garante ha, infatti, riscontrato varie violazioni nelle comunicazioni dei dati di contatto del Responsabile della protezione dei Dati (RPD/DPO).

In conseguenza delle violazioni verificate, il Garante ha quindi avviato un’apposita indagine per verificare l’esatto adempimento dell’obbligo di comunicazione, dandone comunicazione pubblica con la Newsletter n. 503 del 26 maggio 2023, la cui prima parte è dedicata al seguente tema:

Per il momento, l’indagine è stata disposta soltanto nei confronti di grandi enti locali, che vengono attenzionati perchè effettuano:

  • trattamenti di dati personali rilevanti, sia per qualità sia per quantità.

Solo in secondo tempo, il Garante si riserva di estendere l'indagine anche agli enti locali di media e piccola dimensione.

INDAGINE CONOSCITIVA E ISPETTIVA

Non si tratta di un’indagine conoscitiva ma di un'indagine ispettiva, volta all’adozione di provvedimenti correttivi e sanzionatori in caso di accertamento di violazioni.

Esempio di indagine conoscitiva è l’indagine 2020, condotta congiuntamente dall’Autorità per le Garanzie nelle Comunicazioni, dall’Autorità Garante della Concorrenza e del Mercato e dal Garante per la Protezione dei Dati Personali, sui big data e i cui esiti sono accessibili sul sito dell’Autorità (rapporto finale dell’indagine conoscitiva sui Big Data).

L’indagine conoscitiva, come si desume dall’esempio, ha lo scopo di approfondire, anche attraverso audizioni e richieste di informazioni agli stakeholders (imprese, associazioni di categoria ed esperti della materia) la questione oggetto dell'indagine e, nel caso dell'esempio citato, “i cambiamenti derivanti dai Big Data sugli utenti che forniscono i dati, sulle aziende che li utilizzano e, dunque, sui mercati. Ciò anche al fine di cogliere appieno le possibili sinergie tra le tre Autorità e identificare gli strumenti più appropriati per eventuali interventi”.

Diversa è la finalità dell'indagine ispettiva, volta ad accertare eventuali violazioni di obblighi giuridici. Nel caso dell’indagine in esame, l'intervento del Garante, attraverso provvedimenti correttivi e sanzionatori, è collegato alla presenza, nel nostro ordinamento di un preciso obbligo, di natura giuridica, che vincola il titolare o il responsabile ad adempiere alla pubblicazione e alla comunicazione dei dati nei termini e secondo le modalità previste dal quadro normativo, regolamentare e regolatorio vigente.

Con riferimento a tale obbligo, va tenuto presente, tuttavia, che l'indagine disposta riguarda:

  • l'esatto adempimento dell'obbligo di comunicazione al Garante dei dati di contatto.

DIFFERENZE TRA PUBBLICAZIONE E COMUNICAZIONE

Per comprendere la natura e la portata dell'indagine ispettiva disposta dal Garante, occorre tenere ben distinti i due diversi adempimenti della:

-pubblicazione dei dati di contatto

e della

-comunicazione dei dati di contatto

Ciò in quanto possono anche non coincidere i dati da pubblicare e da comunicare, ad esempio per quanto concerne il nominativo o, nel caso di persone giuridiche, la denominazione del Responsabile della Protezione dei Dati, che potrebbe anche non essere oggetto di pubblicazione, in base alla scelta, autonoma, del titolare o del responsabile.

SCOPO DELLA PUBBLICAZIONE E DELLA COMUNICAZIONE

La matrice comune di entrambi gli adempimenti è invece costituita dallo scopo o finalità perseguita dall'ordinamento.

Sia per la pubblicazione che per la comunicazione, la disposizione del citato art. 37 mira, comunque, a garantire che sia gli interessati (interni ed esterni all’ente o organismo titolare o responsabile del trattamento) sia il Garante possano contattare, facilmente e in modo diretto, il Responsabile della Protezione dei Dati del titolare o del responsabile.

In pratica, gli interessati (cittadini, utenti, dipendenti, consulenti, etc.) e il Garante devono poter comunicare con Responsabile della Protezione dei Dati direttamente:

- senza doversi rivolgere a un’altra struttura operante presso il titolare o il responsabile del trattamento.

Non è un caso che, sul tema, le Linee guida sui Responsabili della Protezione dei Dati (RPD), adottate dal Gruppo Articolo 29 (WP243 rev. 01 - punto 2.6. Pubblicazione e comunicazione dei dati di contatto del RPD) prevedono che:

  • “allo scopo di assicurare la raggiungibilità del RPD, interno o esterno, è importante garantirela disponibilità dei dati di contatto nei termini previsti dal RGPD”.

Al riguardo, può dirsi sussistente un indubbio principio di:

  • "raggiungibilità”, immediata e diretta, del Responsabile della protezione dati.

PUBBLICAZIONE DATI OBBLIGATORI

Firma restando la distinzione tra obbligo di pubblicazione e obbligo di comunicazione, i dati di contatto da PUBBLICARE, che consentono agli interessati e all’autorità di controllo di raggiungere facilmente il Responsabile della Protezione dei Dati, sono i dati che comprendono, secondo le Linee guida sui Responsabili della Protezione dei Dati (RPD), adottate dal Gruppo Articolo 29:

  • recapito postale;
  • numero telefonico dedicato e/o indirizzo dedicato di posta elettronica.

Non è necessario PUBBLICARE anche il nominativo o, nel caso di persone giuridiche, la denominazione del Responsabile della Protezione dei Dati, rientrando nella discrezionalità del titolare o del responsabile del trattamento stabilire se si tratta di un’informazione necessaria o utile da pubblicare, tenuto conto del contesto e di specifiche circostanze di riferimento.

Per contro, il nominativo o, nel caso di persone giuridiche, la denominazione del Responsabile della Protezione dei Dati, vanno sempre COMUNICATI al Garante, tenuto conto della circostanza che il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o organismo e l’autorità di controllo stessa (articolo 39, paragrafo 1, lettera e).

PUBBLICAZIONE DATI ULTERIORI

Se la PUBBLICAZIONE dei contatti sopra indicati (recapito postale; numero telefonico dedicato e/o indirizzo dedicato di posta elettronica) si riferisce ai contatti obbligatori per salvaguardare il principio di raggiungibilità, tuttavia, per facilitare la comunicazione con il pubblico, è opportuno, secondo le citate Linee guida, prevedere la PUBBLICAZIONE di dati relativi a canali ulteriori come:

- una hotline dedicata;

- un modulo specifico per contattare il RPD pubblicato sul sito del titolare/responsabile del trattamento.

COMUNICAZIONE AL GARANTE

La comunicazione dei dati di contatto del Responsabile della Protezione dei Dati al Garante, tramite la procedura accessibile dalla piattaforma online (https://servizi.gpdp.it/comunicazionerpd/s/), è un obbligo del titolare/responsabile del trattamento che va ottemperato:

  • tempesticamente

Quest’ultimo è tenuto ad effettuare, tempestivamente, anche la variazione o la revoca della precedente comunicazione.

Il sistema informatico è strutturato per interagire con una persona fisica anche se il Responsabile della Protezione dei Dati è una persona giuridica.
Questa ed altre caratteristiche della comunicazione telematica richiedono particolare attenzione per evitare errori.
Il Garante, per consentire ai soggetti tenuti all'adempimento di verificare quali sono le informazioni richieste, ha messo a disposizione degli stessi:

Ciò nonostante, l’adempimento è stato effettuato, in molti casi, con vari errori.

Esempi di errori, che ora possono essere rilevati dall’indagine ispettiva del Garante, sono:

  • firma digitale non coincidente conquella delrappresentante legale del titolare o responsabile del trattamento odi altra persona che agisce su delega dello stesso e i cui dati (cognome, nome e indirizzo email) sono stati indicati nella sezione A del modulo di comunicazione;
  • omessa indicazione che la comunicazione viene effettuata su delega (selezionando la corrispondente voce e indicando il cognome e nome del soggetto delegante);
  • nel caso di Responsabile della Protezione dei Dati persona giuridica, mancata selezione nella sezione C del modulo, del punto 1 "esterno" e del punto 2 "persona giuridica";
  • omesso o ritardo della comunicazione di variazione (della precedente comunicazione) qualora il titolare o il responsabile del trattamento proceda alla designazione di un nuovo Responsabile della Protezione dei Dati(cessazione, mancato rinnovo del contratto di servizi, modificazione della denominazione del Responsabile della Protezione dei Dati);
  • effettuazione di una nuova comunicazione in caso di rinnovo del Responsabile della Protezione dei Dati anche se i dati di contatto del Responsabile della Protezione dei Datinon sono cambiati;
  • effettuazione di una nuova comunicazione in caso di modifica del rappresentante legale del titolare o del responsabile (es. Sindaco, Presidente, etc.) non dovuta, essendo la comunicazione dei dati di contatto un adempimento a carico dell’ente nel suo complesso, in quantotitolare o responsabile del trattamento, e non un adempimento a carico del suo legale rappresentante.

BUONE PRASSI: COMUNICAZIONE DATI DI CONTATTO AI DIPENDENTI

L'indagine ispettiva del Garante ha per oggetto l'obbligo di comunicazione.

Tuttavia, va tenuto presente che la comunicazione al Garante non è l'unico adempimento preordinato ad attuare il principio di raggiungibilità del Responsabile della Protezione dei Dati, dovendo la comunicazione al Garante essere affiancata dall’adozione di buone prassi operative che consentano al principio di raggiungibilità di essere effettivamente applicato all’interno dell’ente.

Tra buone prassi, il Gruppo di lavoro raccomanda che:

- il titolare/responsabile del trattamento comunichi ai dipendenti il nominativo e i dati di contatto del RPD attraverso, ad esempio, la pubblicazione sulla intranet del titolare o responsabile del trattamento ovvero attraverso l’inserimento nell’elenco telefonico interno e nei diversi organigrammi della struttura.

GARANZIA DI CONFIDENZIALITÀ

Infine, va segnalato che Le Linee guida sui Responsabili della Protezione dei Dati (RPD), adottate dal Gruppo Articolo 29 stabiliscono, ulteriormente, che non basta garantire il principio della diretta raggiungibilità del Responsabile della Protezione dei Dati ma è, altresì importante garantire anche:

  • la confidenzialità delle comunicazioni con il .

Basti pensare, ad esempio, alla circostanza che i dipendenti, se non viene garantita la confidenzialità delle loro comunicazioni, possono sentirsi in difficoltà a presentare reclami al Responsabile della Protezione dei Dati.

COSA FARE

Per ridurre il rischio di incorrere in provvedimenti correttivi e sanzionatori, nel caso di accertamento di violazioni, gli enti locali di grandi dimensioni possono procedere, immediatamente, ad una:

  • verifica inautocontrollo dei dati comunicati, al fine di appurare correttezza eattualità dei dati comunicati, intesa come corrispondenza dei dati medesimirispetto ai dati dell’attuale

Gli enti di media e di piccola dimensione possono programmare e pianificare il suddetto autocontrollo tempestivamente tenuto conto della possibile estensione dell'indagine ispettiva, nel corso dei prossimi mesi, anche agli enti medesimi.

Team Entionline

Servizio di supporto specialistico All privacy Entionline

Categorie
News
Parole chiave
Comunicazione
Garante Privacy
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits