1 garante Archives - MOG 231 - Modelli di Organizzazione e Gestione | MOG 231 – Modelli di Organizzazione e Gestione
Passa al contenuto
Modello di organizzazione e di gestione 231

Posts from the ‘garante’ Category

21
Ago

Regolamento UE 679/2016 e la Privacy by design e Privacy by default


Nel Regolamento UE 679/2016 si parla di Privacy by design e Privacy by defult.
Le informazioni destinate al pubblico o all’interessato devono essere:
• concise;
• facilmente accessibili;
• di facile comprensione (linguaggio semplice e chiaro).
La definizione di Privacy by design è "protezione dei dati fin dalla progettazione".
L’obiettivo è quello di ridurre al minimo il trattamento dei dati personali, mediante misure tecniche e organizzative (es. pseudonimizzazione dei dati personali), in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali.
La definizione di Privacy by defaul è la tutela della protezione del dato come impostazione predefinita.
Si deve garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento, e che l’accesso sia limitato ad un numero definite di persone fisiche. 
La dovuta trasparenza nel trattamento e l’adeguata protezione dei dati, impone al titolare del trattamento precise valutazioni preliminari di impatto privacy, che permettono una valutazione della protezione dei dati prima del trattamento degli stessi.
Chi non si è adeguato al Regolamento UE 2016/679 prima dell'entrata in vigore (25/05/2018) non deve aspettare altro tempo!
Contattando la segreteria organizzativa di Consulenza Regolamento Privacy UE 679 by MODI SRL di Mestre e Spinea Venezia al numero verde 800300333 (gratis anche da mobile) è possibile richiedere un appuntamento per un preventivo di consulenza personalizzato per l'applicazione del REGOLAMENTO 2019/679 PRIVACY O GDPR! 


17
Ago

Se un Responsabile determina le finalità ed i mezzi del trattamento, è considerato titolare del trattamento in questione.

Il Responsabile del Trattamento rappresenta una funzione di sostegno operativo per il Titolare della privacy UE 679/2016.
Per questo motivo è necessario che sia un soggetto affidabile che presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi il GDPR. Tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale…
• garantisce che le persone autorizzate al trattamento dei dati personali (INCARICATI ex 196/2003) si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza (LETTERA DI INCARICO ex 196/2003);
• tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III;
• adotta tutte le misure richieste ai sensi dell'articolo 32 e assiste il titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
• su scelta del titolare del trattamento, cancella o gli restituisce tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancella le copie esistenti;
• mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. (AUDIT PRIVACY PERIODICI).
Non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.
Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche. Se il secondo Responsabile omette di adempiere agli obblighi in materia di protezione dei dati, è comunque il primo Responsabile che ne risponde al Titolare.
Se un Responsabile determina le finalità ed i mezzi del trattamento, è considerato titolare del trattamento in questione.
Chi non si è adeguato al Regolamento UE 2016/679 prima dell'entrata in vigore (25/05/2018) non deve aspettare altro tempo! 
Contattando la segreteria organizzativa di Consulenza Regolamento Privacy UE 679 by MODI SRL di Mestre e Spinea Venezia al numero verde 800300333 (gratis anche da mobile) è possibile richiedere un appuntamento per un preventivo di consulenza personalizzato per l'applicazione del REGOLAMENTO 2016/679 PRIVACY O GDPR!
14
Ago

Adottare le misure necessarie a documentare violazioni della privacy da fornire al Garante in caso di accertamenti.

 
Tutti i titolari e i responsabili di trattamento ad eccezione degli organismi con meno di 250 dipendenti (ma solo se non effettuano trattamenti a rischio), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Le Misure di sicurezza devono garantire un livello di sicurezza adeguato al rischio del trattamento (art. 32); la lista ex art. 32 è aperta e non esaustiva.
 
Si raccomanda quindi di adottare misure necessarie a documentare violazioni, essendo tenuti a fornire tale documentazione su richiesta, al garante, in caso di accertamenti.
Chi non si è adeguato al Regolamento UE 2016/679 prima dell'entrata in vigore (25/05/2018) non deve aspettare altro tempo!
Contattando la segreteria organizzativa di Consulenza Regolamento Privacy UE 679 by MODI SRL di Mestre e Spinea Venezia al numero verde 800300333 (gratis anche da mobile) è possibile richiedere un appuntamento per un preventivo di consulenza personalizzato per l'applicazione del REGOLAMENTO 2016/679 PRIVACY O GDPR!
 
13
Ago

Secondo quando stabilito dal GDPR 2016/679 Privacy, l’interessato ha diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali c

Secondo quanto stabilito dal GDPR 2016/679 Privacy, l’interessato ha diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano se sussiste uno dei seguenti motivi:
• I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti; • L’interessato revoca il consenso; • L’interessato si oppone al trattamento; • I dati personali sono stati trattati illecitamente; • I dati personali devono essere cancellati per adempiere ad un obbligo legale.
Il diritto alla cancellazione non si applica se il trattamento è necessario:
• all’esercizio del diritto alla libertà di espressione e di informazione; • per l’adempimento all’obbligo legale che richieda il trattamento previsto dal diritto dell’unione o dello stato membro cui è soggetto il titolare del trattamento, o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri; • per motivi di interesse pubblico nel settore della sanità pubblica; • ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici; • per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Chi non si è adeguato al Regolamento UE 2016/679 prima dell'entrata in vigore (25/05/2018) non deve aspettare altro tempo!  
Contattando la segreteria organizzativa di Consulenza Regolamento Privacy UE 679 by MODI SRL di Mestre e Spinea Venezia al numero verde 800300333 (gratis anche da mobile) è possibile richiedere un appuntamento per un preventivo di consulenza personalizzato per l'applicazione del REGOLAMENTO 2016/679 PRIVACY O GDPR!
 
10
Ago

Chi non si è adeguato al Regolamento UE 2016/679 prima dell’entrata in vigore (25/05/2018) non deve aspettare altro tempo!

Il Regolamento GDPR europeo 2016/679 dà un ampio spazio ai diritti dell’interessato rispetto al passato, ed un intero capo del regolamento europeo è dedicato a tale argomento. Tra i vari: Diritti di natura conoscitiva: Diritto all’informativa; Diritto di accesso; Diritto alla comunicazione di una violazione dei dati. Diritti di controllo: Consenso al trattamento; Diritto di limitazione del trattamento; Revoca del consenso al trattamento; Diritto di opposizione al trattamento; Diritto alla portabilità dei dati; Diritto di rettifica ed integrazione; Diritto alla cancellazione e all’oblio; Decisioni basate unicamente su trattamento automatizzato. In particolare ha assunto rilievo il cosiddetto DIRITTO ALL’OBLIO (art. 17) • diritto di veder cancellati i propri dati personali presso il titolare che li tratta; • diritto di veder cancellati i rinvii a questi dati, che potrebbero apparire sui motori di ricerca più diffusi; Il diritto ad «essere dimenticati» deve concordarsi con il diritto di informazione e di libera espressione (si pensi ad un fatto di cronaca in cui è coinvolto l’interessato), e in generale con l’interesse pubblico e con eventuali obblighi legali. Pertanto l’interessato non sempre potrà richiedere la cancellazione immediata dei dati che lo riguardano (riportati ad esempio da un sito web) fintanto che tali dati avranno una rilevanza pubblica, stante ovviamente la correttezza degli stessi. Chi non si è adeguato al Regolamento UE 2016/679 prima dell'entrata in vigore (25/05/2018) non deve aspettare altro tempo! Contattando la segreteria organizzativa di Consulenza Regolamento Privacy UE 679 by MODI SRL di Mestre e Spinea Venezia al numero verde 800300333 (gratis anche da mobile) è possibile richiedere un appuntamento per un preventivo di consulenza personalizzato per l'applicazione del REGOLAMENTO 2016/679 PRIVACY O GDPR!
 
 
8
Ago

Uno degli obiettivi del Regolamento UE PRIVACY 679/216 è quello di rafforzare il controllo dei dati personali

L'obiettivo del Regolamento UE PRIVACY 679/216 è quello di rafforzare il controllo sui propri dati personali quando questi sono trattati con mezzi automatizzati: • ricevendo tutti i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico e interoperabile. • trasmettendoli, se necessario, ad un altro fornitore di servizi o titolare del trattamento. • facendoli trasmettere direttamente da un titolare all’altro, se tecnicamente possibile. Il diritto dell’Unione Europea o dei singoli Stati membri può imporre limitazioni al diritto alla "portabilità" dei dati, se conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Si applica solo dietro consenso o se la stessa è necessaria per l’esecuzione di un contratto. Non si applica nei confronti dei titolari che trattano dati nell’esercizio delle loro funzioni pubbliche (es. obbligo legale). Non deve obbligare il titolare ad adottare o mantenere sistemi di trattamento compatibili. L’informativa deve contenere la possibilità per l’interessato di richiedere la portabilità dei suoi dati. Il Titolare deve inoltre fornire un’informativa chiara, concisa, trasparente, intellegibile, facilmente accessibile e completa in merito a quali dati verranno trattati, in che modo, per quanto tempo e per quali finalità. La profiliazione è il "trattamento automatizzato" che valuta aspetti concernenti una persona fisica, al fine di analizzare o prevedere diversi aspetti (il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato) e che può produrre effetti giuridici o incidere significativamente sulla persona interessa la disponibilità di una grandissima quantità di dati (big data) permettono di costruire un profilo dell’interessato che spesso raggiunge alti livelli di accuratezza. Spesso questi dati vengano comunicati inconsciamente dall’interessato (es. tramite iscrizione ad un sito). L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato e che produca effetti anche pregiudizievoli (es. rifiuto automatico di una domanda di credito online). Chi non si è adeguato al Regolamento UE 2016/679 prima dell'entrata in vigore (25/05/2018) non deve aspettare altro tempo! Contattando la segreteria organizzativa di Consulenza Regolamento Privacy UE 679 by MODI SRL di Mestre e Spinea Venezia al numero verde 800300333 (gratis anche da mobile) è possibile richiedere un appuntamento per un preventivo di consulenza personalizzato per l'applicazione del REGOLAMENTO 2016/679 PRIVACY O GDPR!  
7
Ago

Il Regolamento Privacy GDPR UE 679/2016

Il Regolamento  Privacy GDPR UE 679/2016 ha istituito meccanismi di certificazione, sigilli e marchi di protezione dei dati che consentano agli “interessati” di valutare rapidamente il livello di protezione dei dati e dei relativi prodotti e servizi.
L’adozione di codici di condotta e certificazioni è volontaria e dà la possibilità ad un titolare o un responsabile del trattamento che vi ricorre di disporre di uno strumento utilizzabile come elemento per documentare il rispetto dei propri obblighi in ordine alla protezione dei dati personali.
Il Comitato europeo per la protezione dei dati raccoglie in un apposito registro tutte le certificazioni, i sigilli e i marchi di protezione dei dati.
Chi non si è adeguato al Regolamento UE 2016/679 prima dell'entrata in vigore (25/05/2018) non deve aspettare altro tempo!
Contattando la segreteria organizzativa di Consulenza Regolamento Privacy UE 679 by MODI SRL di Mestre e Spinea Venezia al numero verde 800300333 (gratis anche da mobile) è possibile richiedere un appuntamento per un preventivo di consulenza personalizzato per l'applicazione del REGOLAMENTO 2016/679 PRIVACY O GDPR!
6
Ago

Il Regolamento GDPR UE 679/2016 ammette il trasferimento dei dati?

Il Regolamento GDPR UE 679/2016 ammette il trasferimento nelle seguenti ipotesi:
• decisione di adeguatezza della commissione; • garanzie adeguate; • norme vincolanti d’impresa; • casi in deroga; • legittimo interesse del titolare.
DECISIONE DI ADEGUATEZZA La Commissione accerta se il Paese terzo, un territorio o uno o più settori specifici all’interno del Paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato e in tal caso il trasferimento non necessita di autorizzazioni specifiche.
L’atto di esecuzione specifica il proprio ambito di applicazione geografico e settoriale e identifica l’autorità di controllo esistente nel Paese terzo.
La violazione delle disposizioni previste dagli artt. da 44 a 49, relativamente al trasferimento dei dati verso paesi terzi, comporta sanzioni pecuniarie fino a euro 20.000.000,00, o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Almeno ogni quattro anni la Commissione deve riesaminare la posizione per una conferma, modifica o revoca delle condizioni di trasferimento.
Chi non si è adeguato al Regolamento UE 2016/679 prima dell'entrata in vigore (25/05/2018) non deve aspettare altro tempo! 
Contattando la segreteria organizzativa di Consulenza Regolamento Privacy UE 679 by MODI SRL di Mestre e Spinea Venezia al numero verde 800300333 (gratis anche da mobile) è possibile richiedere un appuntamento per un preventivo di consulenza personalizzato per l'applicazione del REGOLAMENTO 2016/679 PRIVACY O GDPR!
2
Ago

Il Registro dei trattamenti secondo il Regolamento GDPR Privacy UE 679/2016 è un adempimento formale che sostituisce, nell’ordinamento italiano, l’obbligo di notificare il trattamento all’autorità garante.

 
Il Registro dei trattamenti secondo il Regolamento GDPR Privacy UE 679/2016 è un adempimento formale che sostituisce, nell’ordinamento italiano, l’obbligo di notificare il trattamento all’autorità garante. È funzionale alla definizione delle misure di sicurezza dei trattamenti per la valutazione di impatto privacy. Il Registro dei trattamenti secondo il Regolamento UE 679/2016 deve essere compilato per il trattamenti specifico delle attività come Titolare e per le attività come Responsabile. L’obbligo del registro NON si applica per: • le imprese o organizzazioni con meno di 250 dipendenti; • trattamento occasionale; • trattamento di dati non sensibili o relativi a condanne penali e Reati. I registri, da tenere in forma scritta, anche in formato elettronico, devono essere messi a disposizione dell’autorità garante per ispezioni e controlli.
Chi non si è adeguato al Regolamento UE 2016/679 prima dell'entrata in vigore (25/05/2018) non deve aspettare altro tempo! 
Contattando la segreteria organizzativa di Consulenza Regolamento Privacy UE 679 by MODI SRL di Mestre e Spinea Venezia al numero verde 800300333 (gratis anche da mobile) è possibile richiedere un appuntamento per un preventivo di consulenza personalizzato per l'applicazione del REGOLAMENTO 2019/679 PRIVACY O GDPR!
Per la consultazione del Regolamento 679/16, slide, video, materiali, faq ecc., lo staff di Consulenza Privacy Regolamento UE 679/2016 by MODI S.r.l. ha messo a disposizione per gli interessati anche un sito internet dedicato www.consulenzaprivacyregolamentoue679.it.
 
3
Apr

Garante della Privacy – nuove FAQ Regolamento Europeo 2016/679 GDPR

Nel sito internet https://consulenzaprivacyregolamentoue679.it di proprietà della MODI S.r.l. sono state rese disponibile le FAQ sul Regolamento Europeo GDPR 2016/679  cliccando qui. Riteniamo possa tornare utile condividere anche le nuove FAQ sul Responsabile della Protezione dei Dati (RPD) in ambito privato che sono state pubblicate  nel sito del Garnate della Privacy in aggiunta a quelle adottate dal Gruppo Art. 29 in Allegato alle Linee guida sul RPD):
1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?
Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall'art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo. Coopera con l'Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; v. faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).
 
2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?
Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti.
 
3. Chi sono i soggetti privati obbligati alla sua designazione?
Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di "core business") consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di "monitoraggio regolare e sistematico" e di "larga scala", v. le "Linee guida sui responsabili della protezione dei dati" del 5 aprile 2017, WP 243). Il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).
 
Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
 
4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività "accessoria").
In ogni caso, resta comunque  raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.
 
5. È possibile nominare un unico responsabile della protezione dei dati personali nell'ambito di un gruppo imprenditoriale?
Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all'art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di "raggiungibilità", v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
 
6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?
Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l'incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l'effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
 
Nell'esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell'osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).
 
I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario - anche se potrebbe rappresentare una buona prassi - pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un'informazione utile o necessaria. Il nominativo  del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all'Autorità di controllo. A tal fine, allo stato, è possibile utilizzare il modello di cui al seguente link: http://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/7322292
 
7. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?
Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l'eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).
 
8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?
Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un "dipendente" del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti. Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).
Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo.
Per consulenze in ambito privacy, incarico DPO, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.