MAGGIOLI EDITORE - La Gazzetta degli Enti Locali
Enti locali, come soddisfare le richieste degli interessati: la procedura
DPO in pillole/ Data protection e cybersecurity: come gestire i diritti che garantiscono a tutte le persone fisiche il controllo sui propri dati personali?
di LUISA DI GIACOMO*
Abbiamo appreso che la redazione delle informative costituisce un adempimento nonché un documento di accountability fondamentale per tutti gli Enti locali, ed altresì che all’interno delle informative è obbligatorio elencare i diritti degli interessati, ossia una serie di diritti che garantiscono a tutte le persone fisiche il controllo sui propri dati personali:
L’esercizio di questi diritti, come tutto il resto della normativa in tema di protezione dei dati, deve essere effettivo perché si possa parlare di accountability: questo significa che non è sufficiente che il Titolare li elenchi nelle proprie informative, ma deve occuparsi e preoccuparsi di metterli in pratica, renderli sostanziali, ossia saper rispondere a questa domanda: come fanno gli interessati ad esercitare uno qualsiasi dei diritti sopra elencati?
Poiché le richieste possono essere macchinose e rispondere può richiedere tempo e risorse, è bene che l’Ente, per non rischiare di “perderne” qualcuna ed incorrere quindi nelle sanzioni dell’Autorità Garante, si doti di una policy interna, utile non solo per illustrare i diritti esistenti in capo agli interessati, ma soprattutto per portare a conoscenza dei cittadini quali sono le modalità di esercizio degli stessi e per fornire un riscontro a queste richieste, in conformità al dettato dell’art. 24 del Regolamento, che impone l’adozione di misure tecniche ed organizzative adeguate ad assicurare l’osservanza del Regolamento stesso.
La procedura inizia con la richiesta dell’interessato, che forma istanza per esercitare un proprio diritto e che può arrivare al titolare del trattamento attraverso differenti canali, ad esempio tramite un modulo scaricabile dal sito internet, oppure via email ai dati di contatto presenti nell’informativa, o può essere inserita in un reclamo, o in qualsiasi altra comunicazione, a mezzo e-mail, pec o posta ordinaria.
Il Garante per la protezione dei dati personali, sul proprio sito, mette a disposizione un modello da fornire agli interessati affinché possano formulare le loro richieste in modo corretto.
La procedura consta delle seguenti fasi:
Presupposto logico per l’implementazione di questa procedura sarebbe l’individuazione a monte di una figura o di un team o di un responsabile esterno che dovrebbe gestire le richieste degli interessati coordinandosi con il DPO dell’Ente. Negli Enti di dimensioni più ridotte, sarà sufficiente che un dipendente venga debitamente istruito e formato in tal senso e provveda personalmente ad avvertire il DPO e a collaborare con lui o lei per l’evasione della richiesta.
L’eventuale responsabile esterno designato dovrà fornire al Titolare supporto e assistenza con misure tecniche e organizzative adeguate, al fine di soddisfare le richieste per l’esercizio dei diritti dell’interessato. Quest’obbligo deve essere previsto nel contratto di designazione.
In ogni caso, tutto il personale coinvolto nel trattamento dei dati personali deve essere adeguatamente formato per essere in grado di supportare il DPO o il Privacy Officer designato nella gestione e nell’evasione delle richieste degli interessati.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
www.lagazzettadeglientilocali.it