Privacy Officer: la nuova scheda informativa del Garante

Il Garante per la protezione dei dati personali ha predisposto una versione aggiornata della scheda informativa sulla figura del Responsabile della protezione dei dati personali (Data Protection Officer) sulla base della proposta di Regolamento COM(2012)11 concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” , come modificata a seguito dell’accordo politico fra i co-legislatori europei (Parlamento europeo e Consiglio Ue).

 

0001.jpg

Annunci

Il Privacy Officer quale figura obbligatoria

imagesAutonomo, specializzato e con un budget di spesa. Sono le caratteristiche principali del responsabile della protezione dei dati personali (Data Protection Officer, DPO) presentate in una scheda diffusa dal Garante della privacy sul suo sito.

Il DPO è previsto nella proposta di regolamento Com(2012)11, destinato a sostituire la direttiva 95/46 e con essa il Codice italiano della privacy (dlgs 196/2003). L’iter per l’approvazione definitiva del regolamento dovrebbe concludersi nei primi mesi del 2016. Ci sarà poi tempo per adeguarsi.

Nel frattempo la figura del responsabile privacy comincia a farsi strada anche a legislazione vigente. Nella scheda sul DPO si spiega, salvo modifiche, quando sarà prevista la nomina, come deve essere scelto e che compiti avrà.

Va, però, ricordato che già, a legislazione vigente, è possibile istituire una figura assimilabile al DPO, con deleghe specifiche nella materia della protezione dei dati. Si tratta di una opzione organizzativa, che ha trovato applicazione in realtà aziendali medio-grandi.

Qualche esperienza analoga (creazione di uffici ad hoc per la privacy) si trova anche nel settore pubblico, ma si tratta di unità organizzative che molto spesso accorpano più funzioni, tra cui quello relativo alla gestione dei trattamenti. Vediamo in sintesi il contenuto della scheda predisposta dal garante.

NOMINA OBBLIGATORIA

Secondo la proposta di regolamento (suscettibile di emendamenti) dovranno designare obbligatoriamente un responsabile della protezione dei dati:

  • tutte le amministrazioni e gli enti pubblici;
  • le imprese con 250 o più dipendenti;
  • tutti i soggetti la cui attività principale consiste in trattamenti che richiedono il controllo regolare e sistematico degli interessati.

Ciò non toglie che possa essere nominato un DPO anche fuori da questi casi, per scelta dell’impresa.

Va sottolineato che nel settore pubblico non vi sarà esonero in base al numero dei dipendenti e che, quindi, tutte le p.a. dovranno dotarsene, valorizzando propri dipendenti o ricorrendo a consulenze esterne.

REQUISITI

Il responsabile della protezione dei dati deve essere uno specialista della privacy e deve essere collocato in una posizione di autonomia, visto che esercita funzioni di controllo e vigilanza.

Godrà di una relativa inamovibilità per un termine di due anni e dovrà avere a disposizione risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

COMPITI

Il DPO dovrà:

  • gestire tutti gli adempimenti di privacy, svolgendo formazione e consulenza, vigilando anche su attività di controllo interno;
  • avere parola anche sulle decisioni organizzative e sull’attribuzione dei compiti e delle responsabilità
  • curare l’attuazione delle misure di sicurezza e dovrà predisporre il sistema informativo in maniera tale da essere conforme alla disciplina della protezione dei dati.

Il DPO avrà il compito di:

  • garantire la conservazione della documentazione relativa ai trattamenti effettuati;
  • controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (data breach).

Il DPO avrà la responsabilità della valutazione d’impatto dei trattamenti sulla protezione dei dati e sarà il punto di contatto per il Garante per la protezione dei dati personali.

Se poi il Garante rivolge richieste alla p.a. o all’impresa, il DPO dovrà curare che venga data tempestiva risposta.

Sull’inquadramento della figura si discute:

  • se si tratterà di una funzione con compiti gestionali (con conseguente coinvolgimento nelle responsabilità) o
  • se invece sarà una funzione di controllo esterno.

 

Manager della privacy, verso una norma UNI per la professione

privacy-officerChi sono i manager responsabili della sicurezza e della privacy nelle aziende?

Di fatto, le persone che supervisionano le procedure e verificano i sistemi di gesione dei dati? Una domanda più che lecita fino a ora. Visto che non esiste, almeno in Italia o in Europa, una normativa condivisa e regole comuni che disciplinino queste figure professionali. Ma ancora per poco. Forse.

Sembra, infatti, che finalmente la situazione di stallo si stia sbloccando: sono giunti segnali forti dal Consiglio d’Europa, che ha dato il via libera all’apertura dei negoziati finali per arrivare all’approvazione del nuovo regolamento entro l’anno; inoltre, in ambito di normazione tecnica, è appena partita ufficialmente l’inchiesta pubblica preliminare per arrivare alla pubblicazione di una Norma UNI in grado di definire i profili delle figure professionali che si occupano di privacy.

Negli Stati Uniti e in altre nazioni, il privacy officer è una figura molto ricercata specialmente dalle aziende che si occupano di ecommerce, o il cui core business è incentrato sui dati personali, come quelle dei settori marketing e sanità. L’Europa, invece, attende da Bruxelles l’approvazione di un nuovo regolamento sulla protezione dei dati che introdurrà tale figura nei 28 Stati membri. Intanto diversi Paesi si muovono in ordine sparso: 15 nazioni hanno previsto in varie forme il privacy officer nei loro ordinamenti, altre impongono alle imprese l’obbligo di nominarlo, altre ancora prevedono agevolazioni per chi decide di avvalersene. Tra queste Germania, Francia, Ungheria, Polonia e Slovacchia, ma non l’Italia.

Federprivacy, associazione di categoria professionale, fa notare come le nazioni dove il privacy officer è previsto dagli ordinamenti locali, «siano anche quelle dove il commercio online produce fatturati maggiori, come in Francia e in Germania, dove vale rispettivamente 56,8 e 70 miliardi di euro annui, anche se la regina europea degli acquisti online è il Regno Unito con 122 miliardi».

«In Italia solo il 4% delle imprese vende online prodotti e servizi, per un valore di 13 miliardi di euro annui, mentre i privacy officer sono ancora pochi, circa 1.000 quelli associati a Federprivacy, e poco più di 200 quelli certificati dal TÜV Examination Institute» sottolinea Nicola Bernardi, presidente di Federprivacy.

Tornando all’iter avviato per la definizione di una normativa Uni, grandi imprese e associazioni di categoria potranno inviare fino al prossimo 2 Luglio i loro commenti, in qualità di stakeholders, tramite il sito di UNI con la possibilità di partecipare al tavolo dei lavori (Codice Progetto E14D00036).

La prossima riunione per il progetto di norma relativo alle figure professionali esperte di privacy all’Ente Italiano di Normazione si terrà il 16 luglio.