privacy
Organigramma Privacy, attività fondamentale per applicare il codice
Per gli studi professionali è la fase iniziale di una corretta implementazione del «piano privacy»
Tra le prime attività che lo studio
professionale deve compiere per applicare correttamente il codice
privacy (DLgs. 196/03) vi è quella di individuare correttamente l’organigramma privacy.
Quello previsto dal codice individua tre soggetti che possono trattare i dati: il titolare del trattamento, il responsabile del trattamento e l’incaricato del trattamento.
Lo studio, a differenza di aziende, enti ed associazioni, può optare per differenti scelte nell’individuare la titolarità del trattamento. Infatti, analizzando attentamente l’autorizzazione n. 4/2011 al trattamento dei dati sensibili da parte dei liberi professionisti, si può notare come il Garante abbia indicato le possibili scelte.
Le casistiche possono ricadere tra le seguenti:
- il singolo professionista;
- l’associazione di professionisti, contitolarità tra più professionisti;
- società di professionisti.
La scelta, che dovrà essere esplicitata nelle informative (ex art. 13 DLgs. 196/03), comporterà impatti diversi sull’organizzazione della privacy all’interno dello studio.
L’ipotesi di optare per i singoli professionisti in qualità di titolari autonomi comporta un impegno maggiore nella circolazione dei dati all’interno dello studio, obbligando ogni singolo professionista a gestire un proprio sistema privacy.
La contitolarità tra più professionisti permette una più facile gestione della circolazione dei dati, ma al contempo comporta un aggravio dovuto all’aggiornamento della modulistica in caso di nuovi ingressi o uscite.
In questo ultimo caso è ipotizzabile inserire nell’organigramma privacy anche la figura del responsabile interno del trattamento (ex art. 29 DLgs. 196/03), figura facoltativa ma, in studi di medie e grandi dimensioni, fortemente consigliabile. In questo caso il responsabile del trattamento è individuabile in uno dei professionisti, che dovrà essere designato dal titolare del trattamento mediante atto scritto indicante i compiti e le responsabilità.
In ogni caso, il singolo professionista o lo studio dovrà individuare e designare gli incaricati del trattamento (persone fisiche) mediante lettera di incarico o attraverso il cosiddetto “mansionario incarichi” (quest’ultimo caso ben si adatta agli studi di dimensioni medio-grandi).
L’incaricato al trattamento dei dati deve essere designato per iscritto e la nomina deve indicare puntualmente l’ambito del trattamento dei dati. Inoltre il soggetto che tratta i dati deve ricevere precise istruzioni impartite dal titolare o dal responsabile.
Al fine di individuare l’ambito del trattamento, si può ricorrere all’analisi dei trattamenti, attività che fino al 2011 costituiva il capitolo 1 del Documento Programmatico sulla Sicurezza (documento non più obbligatorio per effetto del DL 9 febbraio 2012, n. 5, in vigore dal 10 febbraio 2012, convertito L. 4 aprile 2012, n. 35).
Come si può desumere, senza un’attenta analisi dei trattamenti si corre il rischio di non redigere correttamente le lettere di incarico e di incorrere in sanzioni derivanti dalla mancata applicazione delle misure minime di sicurezza (all’interno delle quali va individuata la figura dell’incaricato).
In definitiva l’organigramma privacy costituisce la fase iniziale di una corretta implementazione del “piano privacy” che dovrà avere un costante aggiornamento.
/ Luca LEONE
FONTE:EUTEKNE
Quello previsto dal codice individua tre soggetti che possono trattare i dati: il titolare del trattamento, il responsabile del trattamento e l’incaricato del trattamento.
Lo studio, a differenza di aziende, enti ed associazioni, può optare per differenti scelte nell’individuare la titolarità del trattamento. Infatti, analizzando attentamente l’autorizzazione n. 4/2011 al trattamento dei dati sensibili da parte dei liberi professionisti, si può notare come il Garante abbia indicato le possibili scelte.
Le casistiche possono ricadere tra le seguenti:
- il singolo professionista;
- l’associazione di professionisti, contitolarità tra più professionisti;
- società di professionisti.
La scelta, che dovrà essere esplicitata nelle informative (ex art. 13 DLgs. 196/03), comporterà impatti diversi sull’organizzazione della privacy all’interno dello studio.
L’ipotesi di optare per i singoli professionisti in qualità di titolari autonomi comporta un impegno maggiore nella circolazione dei dati all’interno dello studio, obbligando ogni singolo professionista a gestire un proprio sistema privacy.
La contitolarità tra più professionisti permette una più facile gestione della circolazione dei dati, ma al contempo comporta un aggravio dovuto all’aggiornamento della modulistica in caso di nuovi ingressi o uscite.
Più facile gestione della circolazione dei dati grazie alla contitolarità
La
titolarità in capo all’associazione o alla società di professionisti
permette una gestione simile a quanto avviene nelle aziende, dando più flessibilità all’organizzazione interna.In questo ultimo caso è ipotizzabile inserire nell’organigramma privacy anche la figura del responsabile interno del trattamento (ex art. 29 DLgs. 196/03), figura facoltativa ma, in studi di medie e grandi dimensioni, fortemente consigliabile. In questo caso il responsabile del trattamento è individuabile in uno dei professionisti, che dovrà essere designato dal titolare del trattamento mediante atto scritto indicante i compiti e le responsabilità.
In ogni caso, il singolo professionista o lo studio dovrà individuare e designare gli incaricati del trattamento (persone fisiche) mediante lettera di incarico o attraverso il cosiddetto “mansionario incarichi” (quest’ultimo caso ben si adatta agli studi di dimensioni medio-grandi).
L’incaricato al trattamento dei dati deve essere designato per iscritto e la nomina deve indicare puntualmente l’ambito del trattamento dei dati. Inoltre il soggetto che tratta i dati deve ricevere precise istruzioni impartite dal titolare o dal responsabile.
Al fine di individuare l’ambito del trattamento, si può ricorrere all’analisi dei trattamenti, attività che fino al 2011 costituiva il capitolo 1 del Documento Programmatico sulla Sicurezza (documento non più obbligatorio per effetto del DL 9 febbraio 2012, n. 5, in vigore dal 10 febbraio 2012, convertito L. 4 aprile 2012, n. 35).
Come si può desumere, senza un’attenta analisi dei trattamenti si corre il rischio di non redigere correttamente le lettere di incarico e di incorrere in sanzioni derivanti dalla mancata applicazione delle misure minime di sicurezza (all’interno delle quali va individuata la figura dell’incaricato).
In definitiva l’organigramma privacy costituisce la fase iniziale di una corretta implementazione del “piano privacy” che dovrà avere un costante aggiornamento.
/ Luca LEONE
FONTE:EUTEKNE
Nessun commento:
Posta un commento