Domande e risposte in relazione ai Responsabili del trattamento di dati personali
Domanda: quand'è che sono Responsabile del trattamento dei dati? Risposta: diventi Responsabile del trattamento dei dati personali quando ricevi formalmente l'incarico dal Titolare, per mezzo di una lettera di incarico da te firmata e che contenga direttamente o richiamando un altro documento, i compiti a te assegnati analiticamente.
Domanda: sono obbligato a firmare la lettera di incarico? Risposta: no, non sei obbligato, a meno che i tuoi compiti ordinari non siano già tra quelli previsti in capo ai Responsabili. In questo caso devi accettare l'incarico per essere inquadrato come Responsabile, ma non avrai nella pratica altri compiti oltre a quelli che già svolgi. Ad esempio se sei il responsabile del centro informativo interno, hai già tra i tuoi compiti quello di svolgere l'aggiornamento dei PC, dell'antivirus e l'esecuzione del backup. Questi sono compiti che può svolgere il Responsabile della Privacy e quindi farti incaricare è vantaggioso per chiarire a livello Privacy dove finiscono le tue responsabilità e dove iniziano quelle del Titolare.
Domanda: quali sono i compiti del Responsabile? Risposta: i Responsabili possono essere più di uno e spesso lo sono, poiché di norma c'è un Responsabile delle apparecchiature informatiche e un Responsabile amministrativo che gestisce i rapporti coi clienti o con i dipendenti. Può esserci un Responsabile con compiti di tenuta dei prospetti formativi e un Responsabile per la tenuta del DPS (Documento programmatico sulla sicurezza).
Domanda: quand'è che una mancanza in tema di Privacy è a me imputabile in qualità di Responsabile? Risposta: in quanto Responsabile i tuoi compiti devono essere analiticamente descritti nella lettera di incarico o in un documento allegato. Qualora si verifichi una violazione della legge sulla Privacy in merito a questioni relative ai tuoi compiti, sei imputabile per colpa o dolo, quando hai contravvenuto alle indicazioni del Titolare in merito. Qualche esempio: se sei tenuto all'aggiornamento dell'antivirus e non lo fai, un danno derivante da un virus che crei un illecito per la legge sulla Privacy, fa scattare la tua responsabilità, oltre a quella ordinaria in materia di lavoro; se sei tenuto alla gestione del DPS e non effettui l'aggiornamento entro la fine di marzo, una sanzione conseguente ad un controllo sarà pagata dal Titolare, il quale potrà poi rivalersi su di te.
Domanda: sono stato nominato Responsabile per cose di cui non mi intendo. Cosa devo fare? Risposta: se sei stato nominato Responsabile per la tenuta del DPS, ma non sai bene cosa sia e come si aggiorni, devi pretendere dal Titolare di essere formato, così come prevede la legge sulla Privacy. In mancanza di una formazione, non sei imputabile di eventuali mancanze, in quanto il Titolare ha accettato il rischio di dare un compito senza formare in precedenza. Resta tua facoltà farti esonerare da quel compito se non sei stato formato, senza per questo subire alcun tipo di conseguenza sul piano lavorativo.
Domanda: sono Responsabile per i rapporti con i clienti. Cosa devo fare? Risposta: questo Responsabile dovrebbe essere indicato nell'informativa come la persona a cui rivolgersi, indicando un numero di telefono diretto o un indirizzo mail creato a questo scopo. in questo modo riceverai le eventuali richieste dei clienti in merito ai loro dati e risponderai loro in base a quello che prevede la legge sulla Privacy. Anche in questo caso pretendi una adeguata formazione per svolgere questo compito, senza la quale non sarai imputabile di eventuali mancanze.
Domanda: risulto formato per la Privacy, ma non è vero. Cosa devo fare? Risposta: la formazione sulla Privacy non è certificata. Per questo motivo basta una autocertificazione del Titolare che la formazione è stata svolta e la legge sulla Privacy non richiede altri adempimenti. Sta a chi viene indicato come formato pretendere l'effettiva formazione, in quanto se accetta di risultare formato non è scusabile in caso di mancanze, dal momento che formalmente risulta formato. Non dovresti accettare di apparire formato se non lo sei, non senza sapere che accetti il rischio di incorrere in una imputabilità qualora tu commetta un errore per mancanza di formazione.
Domanda: devo fare il DPS per l'azienda dove lavoro. Come faccio? Risposta: fare un DPS (Documento programmatico sulla sicurezza) non è una cosa che si fa tutti i giorni. Servono competenze giuridiche e conoscenza degli elementi che devono essere inseriti. Chiedi al Titolare di poter giovarti di un consulente esperto in materia o di uno strumento che ti aiuti e ti guidi nel percorso. Una soluzione economica ma funzionale può essere il nostro servizio.
Domanda: ho fatto il DPS. Devo aggiornarlo? Risposta: il DPS (Documento programmatico sulla sicurezza) una volte redatto, va aggiornato una volta all'anno entro il 31 marzo. Se l'hai ricevuto da un consulente esterno dovrai chiedere una consulenza annuale per ogni modifica. Se l'hai redatto con un software potresti dover effettuare modifiche e ristampare tutto il DPS. Se hai usato il nostro servizio, effettua le modifiche necessarie e ristampa solo quello che ti serve, mantenendo il resto del documento che è già corretto.
Domanda: Cos'è la data certa del DPS? Risposta: la data certa del DPS (Documento programmatico sulla sicurezza) è una malsana interpretazione della legge che alcuni esperti hanno indicato nei primi anni di vigenza della legge. Secondo la loro interpretazione bisognava dotare il DPS di una data certa inviandosi il documento sigillato in busta chiusa per raccomandata o timbrando in posta ogni singolo foglio. In realtà non serve nessuna data certa, come da noi indicato in tempi non sospetti, ma è sufficiente essere in possesso del DPS corretto e completo al momento di un eventuale controllo.
Domanda: Sono Responsabile e devo controllare gli Incaricati. In che senso? Risposta: se sei Responsabile con i compiti di supervisione sugli Incaricati, devi controllare che tra essi non vengano messe in atto pratiche contrastanti con le politiche in materia di Privacy adottate dal Titolare nel DPS. Se un incaricato annota la sua password su un foglietto in vista, ad esempio, dovrai fargli notare che è una cosa che deve evitare. Lo stesso vale se l'Incaricato abbandonando la sua postazione non inserisce lo screensaver con la protezione della password. In genere queste disposizioni sono indicate nel DPS (Documento programmatico sulla sicurezza)
Domanda: come Responsabile devo mandare indietro firmate le informative dei nostri fornitori. Cosa devo sapere? Risposta: devi sapere che certe informative sono sbagliate, incomplete e alcune addirittura nascondono delle truffe; per cui se le ritornate firmate sarete obbligati a pagare delle somme. Leggi attentamente le informative e se le ritieni non corrette non rispedirle firmate. Al limite rimandale indietro non firmate, dando così prova di averle lette e di fatto rendendo operative solo le parti legate ai rapporti di lavoro e non quelle potenzialmente pericolose.
Domanda: ho una domanda che non è presente in questa pagina. Cosa devo fare? Risposta: utilizza il form sottostante per porci una domanda gratuitamente. Ti risponderemo in privato e aggiungeremo la tua domanda perché possa essere utile ad altri. La fonte della domanda resterà anonima.
