Privacy officer

Da Wikipedia, l'enciclopedia libera.

Il privacy officer (in inglese, "agente della privacy") è un ruolo aziendale con competenze giuridiche e informatiche la cui responsabilità principale è osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all'interno di un'azienda, affinché questi siano trattatati in modo lecito e pertinente, nel rispetto delle normative vigenti.

Quando il soggetto che ricopre questo ruolo opera con autonomia decisionale nello svolgimento delle proprie mansioni, si parla di chief privacy officer (CPO), figura che in Europa ha assunto anche la denominazione di data protection officer (DPO) (o responsabile della protezione dei dati).[senza fonte]

Cenni storici[modifica | modifica sorgente]

La figura del Privacy Officer fu istituita per la prima nell'agosto 1999 dalla società statunitense AllAdvantage, specializzata in servizi pubblicitari attraverso internet. La figura fu creata per rispondere alla preoccupazione dei consumatori sull’uso dei propri dati personali e per meglio gestire il rispetto delle norme legali inerenti al tema.[1]

Nel maggio del 2013, la posizione del privacy officer è stata introdotta nello staff presidenziale della Casa Bianca. L'amministrazione Obama ha conferito tale incarico a Nicole Wong, che aveva diretto fino al novembre 2012 l'ufficio legale di Twitter, dopo essere stata in precedenza impiegata per otto anni negli uffici legali di Google.[2]

Competenze[modifica | modifica sorgente]

A motivo dei compiti che deve svolgere, il privacy officer possiede un'adeguata conoscenza della normativa sulla gestione dei dati personali nel paese in cui opera. Deve dunque poter offrire ai propri vertici aziendali la consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, curando l’adozione di misure minime di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge e assicurino sicurezza e riservatezza.

Posizione[modifica | modifica sorgente]

L'art.36 della proposta di Regolamento europeo sulla protezione dei dati personali descrive la posizione del privacy officer (responsabile sulla protezione dei dati): il responsabile del trattamento o l’incaricato del trattamento si assicura che il responsabile della protezione dei dati (privacy officer) sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Il responsabile del trattamento o l’incaricato del trattamento si assicura che il responsabile della protezione dei dati adempia alle funzioni e ai compiti in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabile della protezione dei dati riferisce direttamente ai superiori gerarchici del responsabile del trattamento o dell’incaricato del trattamento. Il responsabile del trattamento o l’incaricato del trattamento sostiene il responsabile della protezione dei dati nell’esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all’articolo 37 del regolamento.[3]

Compiti[modifica | modifica sorgente]

L'art.37 della proposta di Regolamento europeo sulla protezione dei dati personali, elenca i compiti del privacy officer (responsabile sulla protezione dei dati):[3]

  • informare e consigliare il responsabile del trattamento o l’incaricato del trattamento in merito agli obblighi derivanti dal presente regolamento e conservare la documentazione relativa a tale attività e alle risposte ricevute;
  • sorvegliare l’attuazione e l’applicazione delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
  • sorvegliare l’attuazione e l’applicazione del presente regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal presente regolamento;
  • garantire la conservazione della documentazione di cui all’articolo 28;
  • controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 31 e 32;
  • controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti dagli articoli 33 e 34;
  • controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa.

Normative[modifica | modifica sorgente]

Europa[modifica | modifica sorgente]

La Commissione Europea in data 25 gennaio 2012 ha approvato un regolamento unico sulla protezione dei dati personali [4][5][6][7], che andrà a sostituire la direttiva 95/46/CE e sarà vigente contemporaneamente in ventisette stati membri UE, obbligando le imprese con più di 250 addetti e tutti gli enti pubblici[8] a nominare un data protection officer.

L'art. 35 della proposta di Regolamento Europeo prevede che questo debba essere nominato, con contratto o assunzione rinnovabile per un periodo di almeno due anni, quando il trattamento è effettuato da un’autorità pubblica, da un’impresa con 250 o più dipendenti, o se le attività principali dell'impresa consistono in trattamenti che, per la loro natura, richiedono il controllo regolare e sistematico degli interessati. Il nominativo e le coordinate del privacy officer designato devono essere comunicate all’autorità di controllo e al pubblico.

Italia[modifica | modifica sorgente]

La figura non è normata dal codice italiano. Il privacy officer è giuridicamente un libero professionista la cui professione non è regolamentata e quindi non è soggetta a esami, certificazioni, né all'iscrizione ad albo professionale.

Nel 2006, il presidente del Autorità Garante per la protezione dei dati personali Francesco Pizzetti, è intervenuto a favore dell'istituzione della figura.[9]

Note[modifica | modifica sorgente]

  1. ^ Il Privacy Officer, figura chiave della data protection europea, Ipsoa, 2013
  2. ^ [1] Il Sole 24 Ore, 8 maggio 2013
  3. ^ a b Proposta di Regolamento Europeo sulla protezione dei dati personali, traduzione italiana della Commissione Europea
  4. ^ News Garante Privacy del 7 febbraio 2012
  5. ^ Medialaws
  6. ^ Protezione dati in Europa: c’è la proposta di riforma
  7. ^ Il Garante a EurActiv.it: Privacy, il nuovo regolamento Ue è dettagliato, ma poco flessibile
  8. ^ Archivio Statistico Istat delle Imprese Attive, giugno 2011
  9. ^ Il presidente del Garante al seminario Epof

Voci correlate[modifica | modifica sorgente]

Collegamenti esterni[modifica | modifica sorgente]