• Formazione del personale . Formare ogni dipendente che ha accesso ai dati su come attuare le misure di sicurezza e protezione sui dati, prevedendo l’aggiornamento pe- riodico di detta formazione. • Designazione di un responsabile delle misure di sicurezza. Designare un funzionario, un dipendente o più dipendenti per mantenere e implementare le pratiche e politiche di sicurezza previste. • Disporre di una procedura di Incident Response. Implementare procedure per indi- viduare incidenti o violazioni dei dati (“ data breaches ”) e per rispondere o recuperare i dati a seguito di violazioni o indicenti. Le pratiche, politiche e procedure di sicurezza previste dalla section 208 possono esse- re precisate da specifici regolamenti in materia che potranno essere adottati dalla F ederal Trade Commission . > LA FIGURA DEL PRIVACY AND DATA SECURITY OFFICER (DPSO) Intanto, il Titolo III dell’ADPPA prevede le norme sulla Accountability aziendale. Nell’am- bito di tali disposizioni è prevista la designazione di Privacy and Data Security Officer (DPSO) che deve essere nominato da un titolare o da un responsabile del trattamento. A differenza del GDPR, che prevede DPO esterni, tale figura è disegnata solo come dipen- dente interno della struttura del titolare o del responsabile. Possono ricoprire il ruolo di Privacy Officer e/o di Security Officer : • uno o più dipendenti qualificati come Privacy Officers ; e • uno o più dipendenti qualificati [oltre a qualsiasi dipendente designato ai sensi della lettera (A)] come Data Security Officers . Questi funzionari/dipendenti interni del titolare o del responsabile devono, come nucleo minimo dei loro compiti e delle loro attribuzioni: • implementare un programma sulla privacy e sulla sicurezza dei dati per salvaguardare la privacy e la sicurezza dei dati in conformità ai requisiti dell’ADPPA; e • facilitare la continua conformità del titolare o del responsabile del trattamento alle previsioni dell’ADPPA. Particolari obblighi aggiuntivi sono previsti in materia per i Large Data Holders, i grandi detentori dei dati. Intanto, a partire da un anno dalla data di entrata in vigore dell’ADPPA un funzionario esecutivo di un grande detentore di dati deve certificare annualmente (fa- cendo specifiche verifiche e audit nei 90 giorni precedenti la certificazione), in buona fede, alla Federal Trade Commission , secondo le modalità specificate dalla Commissione stessa
61
Made with FlippingBook Online newsletter maker