Continua la nostra analisi del testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. Esaminiamo qui il tema delle responsabilità e degli oneri del controller e la figura del Data Protection Officer.
La Proposta di regolamento responsabilizza maggiormente i controller (titolari del trattamento), i quali saranno, in particolare, gravati dalla predisposizione di misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati effettuate (art. 30). A carico dei medesimi viene posto, inoltre, l’obbligo di comunicare senza ritardo sia alle autorità sia agli interessati i cc.dd. data breach, ossia le violazioni dei dati avvenute durante le operazioni di trattamento (artt. 31 e 32).
Viene poi prevista la figura dei joint controller (contitolari), i cui ruoli e le cui responsabilità dovranno essere ripartite sulla base di un accordo a cui gli stessi interessati potranno far riferimento, fatta salva una diversa determinazione da parte della legge europea o nazionale (art. 24).
A tutela del rispetto dei diritti e delle libertà fondamentali dei cittadini e a garanzia della conformità delle operazioni di trattamento al Regolamento, vengono confermate le figure del Data Protection Officer (già previsto, a livello europeo, dal Regolamento UE n. 44/2001) e di una Supervisory Authority indipendente a livello nazionale (rispettivamente, artt. 35 e 46). Mentre il primo dovrà essere designato in tutti i casi in cui il trattamento venga svolto da una pubblica autorità, richieda un regolare e sistematico monitoraggio degli interessati su larga scala o, ancora, abbia ad oggetto dati sensibili, l’Autorità di sorveglianza dovrà essere obbligatoriamente istituita in ogni Stato membro. Quest’ultima ha, tra gli altri, il primario obiettivo di garantire la coerenza nell’applicazione della normativa sulla protezione dei dati in tutta l’Unione europea (art. 46), potendo contare anche sui meccanismi di one-stop-shop (o “sportello unico”) che prevedono una collaborazione reciproca tra le diverse autorità nazionali e la possibilità di adottare una decisione di controllo unica nei casi transfrontalieri che comportano un coinvolgimento plurimo delle Autorità (art. 54a).
In quest’ottica di mutua assistenza è da segnalare anche l’istituzione di un Comitato europeo per la protezione dei dati (art. 64), che dovrebbe comprendere rappresentanti di tutte le 28 Autorità di controllo indipendenti e sostituire il c.d. “Gruppo Art. 29”, cioè il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, di cui all’articolo 29 della dir. 95/46/CE.
Aggiungi commento