Privacy officer

Da Wikipedia, l'enciclopedia libera.
Nicole Wong, nominata privacy officer della Casa Bianca nel 2013
Sintesi delle competenze e delle abilità necessarie al privacy officer
Grafico della diffusione della figura del privacy officer in Europa sulla base dei dati del CNIL del 2012, aggiornati con gli ultimi sviluppi fino al 2014

Il privacy officer, o data protection officer (in italiano, letteralmente agente della privacy) è un soggetto la cui responsabilità è osservare, valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all'interno di un'azienda o di un ente, affinché questi siano trattatati in modo lecito e pertinente, nel rispetto delle normative vigenti.

Quando nei paesi anglosassoni il soggetto che ricopre questo ruolo opera a livello senior con autonomia decisionale, si parla di chief privacy officer, mentre nell'Unione europea la denominazione analoga del ruolo con funzioni dirigenziali è "responsabile della protezione dei dati" ("data protection officer", nella versione inglese del testo della proposta di regolamento in discussione al Parlamento Europeo)[1]

Cenni storici[modifica | modifica sorgente]

Anche se la sua diffusione si è verificata maggiormente negli Usa e nei paesi anglosassoni, la prima comparsa del privacy officer negli ordinamenti giuridici è stata in Europa, nella legislazione della Germania nel 1970 (Datenschutzbeauftragter).

La figura del privacy officer fu poi istituita per la prima volta negli USA nell'agosto 1999 dalla società AllAdvantage, specializzata in servizi pubblicitari attraverso Internet. La figura fu creata per rispondere alla preoccupazione dei consumatori sull'utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme legali inerenti al tema.[2]

Nel maggio del 2013, la posizione del privacy officer è stata introdotta nel personale presidenziale della Casa Bianca, negli Stati Uniti. L'amministrazione del presidente Obama ha conferito tale incarico a Nicole Wong, che aveva diretto fino al novembre 2012 l'ufficio legale di Twitter, dopo essere stata in precedenza impiegata per otto anni negli uffici legali di Google.[3]

Competenze[modifica | modifica sorgente]

Il privacy officer deve possedere conoscenza della normativa sulla gestione dei dati personali nel paese in cui opera. Deve poter offrire la consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, possedendo dunque conoscenza dei Sistemi di gestione aziendali, per curare l'adozione di misure minime di sicurezza finalizzate alla tutela dei dati, che soddisfino i requisiti di legge e assicurino sicurezza e riservatezza. Per evitare risarcimenti di danni ai sensi dell'art.15 del Codice della privacy, deve inoltre curare l'adozione di misure idonee di sicurezza ai sensi dell'art.31 del Codice, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.[4] In ragione del fatto che l'acquisizione e la gestione dei dati personali avviene in modo preponderante per mezzo digitale, il privacy officer deve altresì possedere competenze di carattere informatico.La molteplicità degli ambiti delle competenze necessarie, delle casistiche multidisciplinari che deve affrontare, nonché dei soggetti interni ed esterni alla propria organizzazione con cui si deve relazionare, richiede al privacy officer che possieda le necessarie abilità per portare a termine compiti e risolvere i problemi insiti nelle proprie funzioni.

Compiti[modifica | modifica sorgente]

Secondo la proposta di regolamento europeo sulla protezione dei dati personali, il responsabile del trattamento dei dati (o l'eventuale incaricato) deve assicurarsi che il privacy officer ("responsabile della protezione dei dati") sia prontamente coinvolto nelle questioni riguardanti la protezione dei dati personali, che adempia alle funzioni in piena indipendenza e non riceva istruzioni per quanto riguarda il loro esercizio. Il privacy officer riferisce direttamente ai superiori. Il responsabile del trattamento sostiene il privacy officer nell'esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature e quanto necessario per adempiere alle sue funzioni.[5]

L'art.37 della proposta di regolamento europeo sulla protezione dei dati personali, elenca i compiti del responsabile della protezione dei dati:[5]

  • informare e consigliare il responsabile del trattamento (o l'incaricato del trattamento) in merito agli obblighi derivanti dal regolamento europeo e conservare la documentazione relativa a tale attività e alle risposte ricevute;
  • sorvegliare l’attuazione e l’applicazione delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti;
  • sorvegliare l’attuazione e l’applicazione del regolamento europeo, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti;
  • garantire la conservazione della documentazione;
  • controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
  • controllare che il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti;
  • controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa.

Normative[modifica | modifica sorgente]

Europa[modifica | modifica sorgente]

Non esiste un obbligo comunitario né una normativa ratificata in riferimento a tale professione. Quindici paesi europei su ventotto, tuttavia, hanno definito caratteristiche afferenti alla professione del privacy officer nei propri ordinamenti.[6]

La Commissione europea in data 25 gennaio 2012 ha presentato un regolamento unico sulla protezione dei dati personali [7][8][9][10], che andrà a sostituire la direttiva 95/46/CE e sarà vigente contemporaneamente in ventotto stati membri.[11] Se nel testo originario del gennaio 2012 era previsto l'obbligo di nomina di un responsabile della protezione dei dati per tutte le imprese con più di 250 addetti e tutti gli enti pubblici, a seguito dell'approvazione del regolamento da parte della Commissione Libe (Committee on Civil Liberties, Justice and Home Affair) il 21 ottobre 2013, tale obbligo è stato modificato con criteri flessibili basati sulla mole e sulla tipologia di dati trattati, facendovi rientrare le imprese (persone giuridiche) che effettuano trattamenti di dati personali di più di 5.000 interessati in qualsiasi periodo di 12 mesi consecutivi, oppure quando le attività principali dell'impresa consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati, oltre a tutte le pubbliche amministrazioni, che devono in ogni caso nominare un responsabile della protezione dei dati. [12] [13][14][15]. Il testo del regolamento, così come modificato nell'ottobre 2013, è stato approvato in prima lettura dal Parlamento Europeo in data 12 marzo 2014.[16]

L'art. 35 della proposta di Regolamento Europeo prevede che il privacy officer debba essere nominato, con contratto o assunzione rinnovabile per un periodo di almeno due anni, quando il trattamento è effettuato da un’autorità pubblica, o da un’impresa che effettua trattamenti di dati personali di più di 5.000 interessati in qualsiasi periodo di 12 mesi consecutivi, oppure quando le attività principali dell'impresa consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità richiedono il controllo regolare e sistematico degli interessati.

Italia[modifica | modifica sorgente]

La figura non è prevista dall'ordinamento italiano, il responsabile della protezione dei dati è un libero professionista o un dipendente la cui professione non è regolamentata, non è soggetta a esami, certificazioni, né all'iscrizione ad albi professionali, e rientra quindi nella disciplina della Legge 4/2013 sulle professioni non organizzate in ordini e collegi.[17][18] In Italia, l'associazione che rappresenta i privacy officer iscritta nell'elenco delle associazioni di natura privatistica che rilasciano l'attestato di qualità del Ministero dello Sviluppo Economico è Federprivacy.[19][20][21][22][23][24][25]

Nel 2006, il presidente del Autorità Garante per la protezione dei dati personali Francesco Pizzetti, è intervenuto a favore dell'istituzione della figura.[26] Nel febbraio 2014 il Garante della privacy ha proposto di introdurre la figura attraverso un emendamento legislativo, senza tuttavia che la proposta si sia concretizzata nell'iter parlamentare necessario.[27]

Note[modifica | modifica sorgente]

  1. ^ Proposta di Regolamento Europeo sulla protezione dei dati del 25 gennaio 2012
  2. ^ Il Privacy Officer, figura chiave della data protection europea, Ipsoa, 2013
  3. ^ Il Sole 24 Ore, 8 maggio 2013
  4. ^ "Codice in materia di protezione dei dati personali"
  5. ^ a b Proposta di Regolamento Europeo sulla protezione dei dati personali, traduzione italiana della Commissione Europea
  6. ^ Cnil, "Data Protection Officer in Europe"
  7. ^ News Garante Privacy del 7 febbraio 2012
  8. ^ Medialaws
  9. ^ Protezione dati in Europa: c’è la proposta di riforma
  10. ^ Il Garante a EurActiv.it: Privacy, il nuovo regolamento Ue è dettagliato, ma poco flessibile
  11. ^ Informazioni di base sull'Unione europea
  12. ^ Archivio Statistico Istat delle Imprese Attive, giugno 2011
  13. ^ Relazione sulla proposta di regolamento del Parlamento europeo e del Consiglio del 22 novembre 2013
  14. ^ Il Web 3.0 è alle porte, ma servono nuove regole
  15. ^ Codice della Privacy prossimo alla pensione: arrivano il Regolamento Europeo e il Privacy Officer
  16. ^ I deputati inaspriscono le norme per proteggere i dati personali
  17. ^ Legge 14 gennaio 2013 n.4 - Riforma delle professioni non organizzate in ordini o collegi
  18. ^ Professioni non regolamentate: nuove possibilità per Record Document Manager e Privacy officer
  19. ^ Italia Oggi Online: Bollino blu per gli esperti di privacy
  20. ^ Italia Oggi Sette del 21 luglio 2014: Un tesserino per ogni consulente
  21. ^ Ministero dello Sviluppo Economico: Elenco Associazioni professionali che rilasciano l'attestato di qualità
  22. ^ MilanoPost, "Una nuova professione:il consulente privacy"
  23. ^ Il Giornale delle Partite Iva, "Rilascio attestati di qualità ai professionisti. Federprivacy"
  24. ^ Pmi.it: "Consulente Privacy: un attestato per i Professionisti"
  25. ^ Data Manager Online, "Federprivacy: attestato di qualità per gli esperti di privacy"
  26. ^ Il presidente del Garante al seminario Epof
  27. ^ Italia Oggi del 08.02.2014 - In cantiere il provvedimento "ad hoc" per p.a. e grandi imprese

Voci correlate[modifica | modifica sorgente]

Collegamenti esterni[modifica | modifica sorgente]