mediante regolamento ai sensi della sezione 553 del titolo 5 del Codice degli Stati Uniti, che l’entità in questione mantiene: • controlli interni efficaci per conformarsi alle disposizioni previste dall’ADPPA; e • strutture di reporting per garantire che tali funzionari certificatori siano coinvolti e responsabili delle decisioni che hanno un impatto sulla conformità dell’entità alle di- sposizioni previste dall’ADPPA. Inoltre, per quanto riguarda figure analoghe al DPO per i Large Data Holders , l’ADPPA pre- scrive che tali entità procedano alla nomina almeno di un Privacy Officer e/o di Security Of- ficer che riferisca direttamente al più alto funzionario e che oltre a stilare i piani di com- pliance, direttamente o tramite uno o più incaricati supervisionati: a. stabilisca i processi per rivedere e aggiornare periodicamente le politiche, le pratiche e le procedure in materia di privacy e sicurezza del Large Data Holder ; b. svolga ogni due anni audit completi (che devono essere accessibili, su richiesta, alla Federal Trade Commission ) per garantire che le politiche, le pratiche e le procedure del Large Data Holder siano efficaci nell’assicurare che l’azienda si conformi a tutte le leggi applicabili; c. sviluppi un programma di educazione e formazione dei dipendenti sui requisiti di con- formità; d. mantenga registrazioni aggiornate, accurate, chiare e comprensibili di tutte le pratiche di privacy e sicurezza dei dati intraprese dal Large Data Holder ; e e. funga da punto di contatto tra il Large Data Holder e le autorità preposte all’applicazione della legge. Dunque la figura del Privacy Officer e/o del Security Officer si distingue nettamente dalla fi- gura del DPO nel GDPR, in quanto: a. non paiono essere richiesti per tali figure (tra l’altro solo interne e separate quanto alla competenza tra privacy e security) gli stringenti requisiti di competenza, professiona- lità e conoscenza della materia per poter assumere e svolgere efficacemente il ruolo; b. non sono figure indipendenti e delle quali sia assicurata l’indipendenza; c. appaiono essere destinatari di meri compiti organizzativi e gestionali, al pari dei Privacy Officers interni delle aziende europee, figure del tutto diverse da quello che è poi dive- nuto il DPO nel GDPR.
62
Made with FlippingBook Online newsletter maker