Il 5° STEP della road map verso l’entrata in vigore della nuova Legge sulla Protezione dei dati Svizzera (nLPD) prevede definizione di ruoli e responsabilità cioè all’interno dell’attività bisogna da qui al 2023 andare a definire quelli che sono i ruoli e le responsabilità all’interno dell’azienda lato privacy e poi prevede anche scopi del trattamento e motivi giustificativi.
All’interno di un’azienda a livello privacy sono presenti una serie di ruoli e responsabilità in capo a figure privacy come, ad esempio, il titolare del trattamento, il Data Protection Officer, i responsabili del trattamento, gli autorizzati al trattamento e molti altri.
Qual è lo strumento che viene utilizzato per governare i ruoli e le responsabilità in azienda?
Uno strumento importantissimo che permette di dare una struttura ai vari ruoli presenti in azienda è l’organigramma privacy. L’organigramma serve per creare la gerarchia aziendale, non solo dal punto di vista funzionale ma anche dal punto di vista della protezione dei dati personali. Diventa fondamentale nel momento in cui viene messo in evidenza chi riveste il ruolo di titolare del trattamento, cioè il referente interno che ha la delega di poteri e la responsabilità dal punto di vista privacy.
Responsabile esterno del trattamento: formalizzazione contrattuale?
Un ruolo molto importante per quanto riguarda i ruoli privacy è quello del responsabile esterno del trattamento, sono tutte quelle società o professionisti che trattano dati e trattamenti in nome e per conto del titolare.
Come definisce l’articolo 9 della nuova LPD il titolare può esternalizzare un trattamento, salvo che non vi siano questioni legate al segreto, alla riservatezza che gli impediscono di esternalizzare questa attività. Il Responsabile esterno del trattamento deve essere istruito dal titolare del trattamento e gli devono essere date indicazioni sulla natura sull’oggetto, sulle finalità del trattamento, sui dati che può trattare per conto del titolare e anche cosa debba fare nel momento in cui vi sia la cessazione del contratto. Fondamentale quindi è strutturare un agreement, un contratto per perimetrare la loro attività rispetto a quanto si aspetta da questa figura.
Scopi del trattamento e motivi giustificativi: GDPR e nLPD
Importante è definire il parallelismo tra GDPR e nLPD di questi due concetti: scopi del trattamento, nella nLPD, sono per il GDPR finalità del trattamento e motivi giustificativi, nella nLPD, per il GDPR sono le cosiddette basi giuridiche.
Come anche prevede il GDPR il trattamento deve essere guidato da un motivo che renda lecito il trattamento dei dati, in particolare dal punto di vista della LPD abbiamo basi giuridiche più o meno note come quelle previste dal GDPR quindi il consenso, il contratto, l’obbligo di legge e l’interesse preponderante del titolare.
