Responsabile della protezione dei dati

Da Wikipedia, l'enciclopedia libera.
(Reindirizzamento da Privacy officer)
Nicole Wong, nominata Responsabile della protezione dei dati della Casa Bianca nel 2013
Sintesi di competenze e abilità tecnicamente necessarie al Responsabile della protezione dei dati
Grafico della diffusione della figura del Responsabile della protezione dei dati in Europa sulla base dei dati del CNIL del 2012
Esempio di organigramma di un gruppo di imprese per la gestione dei dati personali secondo le previsioni dell'art.37 del regolamento europeo

Il responsabile della protezione dei dati è una persona esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all'interno di un'azienda, di un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente.

Quando nei paesi anglosassoni questo responsabile opera a livello senior con autonomia decisionale, è definito chief privacy officer, mentre nell'Unione europea la denominazione inglese analoga del ruolo con funzioni dirigenziali è data protection officer ("responsabile della protezione dei dati", nella versione italiana del Regolamento europeo in materia di trattamento dei dati personali). [1]

Storia[modifica | modifica wikitesto]

Anche se la sua diffusione si è verificata maggiormente negli Stati Uniti e nei paesi anglosassoni, la prima comparsa di questo responsabile negli ordinamenti giuridici è stata in Europa, nella legislazione della Germania nel 1970 (Datenschutzbeauftragter).

La sua figura fu poi istituita per la prima volta negli Usa nell'agosto 1999 dalla società AllAdvantage, specializzata in servizi pubblicitari attraverso Internet. La figura fu creata per rispondere alla preoccupazione dei consumatori sull'utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema.[2]

Nel maggio del 2013, la posizione del responsabile della protezione dei dati è stata introdotta nel personale presidenziale della Casa Bianca statunitense. L'amministrazione del presidente Barack Obama ha conferito tale incarico a Nicole Wong, precedentemente direttrice dell'ufficio legale di Twitter e impiegata negli uffici legali di Google.[3][4]

Competenze[modifica | modifica wikitesto]

Il responsabile della protezione dei dati deve possedere conoscenza della normativa sulla gestione dei dati personali nel paese in cui opera (Legge sulla privacy).

Deve poter offrire la consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, interagendo coi sistemi di gestione aziendali, per curare l'adozione di misure di sicurezza finalizzate alla tutela dei dati, che soddisfino i requisiti di legge e per evitare i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

In ragione del fatto che l'acquisizione e la gestione dei dati personali avviene in modo preponderante per mezzo digitale, il responsabile della protezione dei dati deve possedere, oltre che competenze legali, anche competenze di carattere informatico.

Compiti[modifica | modifica wikitesto]

Secondo il testo del regolamento europeo sulla protezione dei dati personali, quando una persona viene designata come "responsabile della protezione dei dati", il titolare del trattamento dei dati (l'azienda o l'ente) deve assicurarsi che sia prontamente coinvolto, che adempia alle funzioni in piena indipendenza allo scopo di non creare un conflitto di interesse nello svolgimento del suo compito di vigilanza sull'attuazione e l'applicazione della normativa.[5] Il responsabile della protezione dei dati riferisce direttamente alla dirigenza e risponde gerarchicamente ad essa. Il responsabile del trattamento sostiene il titolare della protezione dei dati nel suo ruolo per l'esecuzione dei suoi compiti, fornendogli tutte le risorse necessarie, quali risorse finanziarie, personale, locali, attrezzature e quanto occorrente per adempiere alle funzioni.[6]. A seconda dell'organigramma stabilito dall'azienda o dall'ente, uno o più responsabili della protezione dei dati possono operare anche in gruppo, specialmente nei casi di grandi aziende e multinazionali, nelle quali può essere necessario ricorrere a più soggetti.

Ai sensi dell' art. 38 del regolamento europeo sulla protezione dei dati, il responsabile della protezione dei dati:

a. deve essere adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;

b. deve essere sostenuto dal titolare del trattamento e dal responsabile nell'esecuzione dei compiti assegnati;

c. deve avere le risorse necessarie per adempiere ai compiti assegnati;

d. deve poter accedere ai dati personali e ai trattamenti che riguardano la struttura in cui è inserito;

e. deve mantenere la sua conoscenza specialistica (corsi di aggiornamento);

f. deve essere indipendente nell'esercizio delle sue funzioni;

g. non deve essere penalizzato o rimosso per l'adempimento dei propri compiti;

h. è tenuto al segreto e alla riservatezza in merito all'adempimento dei propri compiti;

i. non può svolgere altre funzioni o compiti che determino un conflitto di interessi [7].

L'articolo 39 del regolamento europeo sulla protezione dei dati personali, elenca i compiti del responsabile della protezione dei dati, che sono almeno i seguenti:[6]

a. informare e consigliare il titolare del trattamento o il Responsabile nonché i dipendenti;

b. sorvegliare l'osservanza del Regola-mento e delle altre leggi vigenti nell'Unione Europea in materia nonché delle policy;

c. fornire se richiesto un parere sulla valutazione di impatto sulla prote-zione dei dati personali e sorvegliare lo svolgimento;

d. fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento di dati personali.

Nel mondo[modifica | modifica wikitesto]

Unione europea[modifica | modifica wikitesto]

Ai sensi dell'art. 37 del Regolamento Europeo il responsabile della protezione dei dati (Data Protection Officer) deve essere designato quando:

a. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico – eccetto le autorità giurisdizionali;

b. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

Italia[modifica | modifica wikitesto]

Il 4 giugno 2015, all'interno delle Linee guida in materia di Dossier sanitario, il Garante per la Protezione dei dati personali italiano ha precisato che "in ragione della particolare delicatezza delle informazioni trattate mediante il dossier sanitario, il Garante auspica che i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO - data protection officer), anche in relazione ai casi di data breach"[8] [9] [10].

A seguito dell'entrata in vigore (25 maggio 2016) del regolamento europeo, che troverà applicazione a partire dal 28 maggio 2018 (articolo 99), la figura del responsabile della protezione dei dati (data protection officer) diventa obbligatoria anche per i titolari del trattamento aventi stabilimento principale in Italia [11].

A tal fine, a marzo 2016 il Garante per la privacy ha reso disponibile, sul proprio sito web, una scheda informativa che presenta la figura del Responsabile della protezione dei dati personali (Data Protection Officer) [12].

Poiché la professione del responsabile della protezione dei dati non è regolamentata, non è obbligatoriamente soggetta a esami, certificazioni, né all'iscrizione ad albi professionali. Si rientra quindi nell'ambito di applicazione della Legge 4/2013 sulle professioni non organizzate in ordini e collegi.[13][14] In Italia, sono presenti tre associazioni che rappresentano i responsabili della protezione dei dati (data protection officer) iscritte nell'elenco delle associazioni di natura privatistica che rilasciano l'attestato di qualità del Ministero dello Sviluppo Economico: Federprivacy, ASSO DPO e Uniquality.[15]

Note[modifica | modifica wikitesto]

  1. ^ Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC
  2. ^ Il Privacy Officer, figura chiave della data protection europea, Ipsoa, 2013
  3. ^ Il Sole 24 Ore, 8 maggio 2013 "Da Google alla Casa Bianca, Obama nomina una Privacy Officer"
  4. ^ Pionero, 20 marzo 2014 "Protezione dati: la privacy è vista come una burocrazia da aziende e PA"
  5. ^ Diritto 24, Il Sole 24 Ore, 13 gennaio 2015
  6. ^ a b Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC
  7. ^ http://www.e-comlaw.com/data-protection-law-and-policy/article_template.asp?Contents=Yes&from=dplp&ID=1304
  8. ^ Linee guida in materia di Dossier sanitario - 4 giugno 2015 [4084632] - Garante Privacy, su www.garanteprivacy.it. URL consultato il 28 luglio 2016.
  9. ^ http://laborproject.it/allegati/138_plugin_record_1438674884_Estratto_ItalyElectronicPatientDossier270715.pdf
  10. ^ http://www.omceovr.it/public/immagini/file/VRMedica%202_03_16.pdf
  11. ^ Privacy, i Data Protection Officer a congresso | e-Sanit@, su www.esanitanews.it. URL consultato il 28 luglio 2016.
  12. ^ http://www.dataguidance.com/dataguidance_privacy_this_week.asp?id=6199
  13. ^ Legge 14 gennaio 2013 n.4 - Riforma delle professioni non organizzate in ordini o collegi
  14. ^ Professioni non regolamentate: nuove possibilità per Record Document Manager e Privacy officer
  15. ^ FEDERPRIVACY: http://www.sviluppoeconomico.gov.it/images/stories/documenti/Federprivacy_Allegato_2%20modificato.pdf ASSO DPO: http://www.sviluppoeconomico.gov.it/images/stories/documenti/Allegato2_ASSO%20DPO_040216.pdf UNIQUALITY: http://www.sviluppoeconomico.gov.it/images/stories/documenti/Allegato2ssoc-3_2014_UNIQUALITY

Voci correlate[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]