Responsabile della protezione dei dati

Da Wikipedia, l'enciclopedia libera.
(Reindirizzamento da Privacy officer)
Nicole Wong, nominata Responsabile della protezione dei dati della Casa Bianca nel 2013
Sintesi di competenze e abilità tecnicamente necessarie al Responsabile della protezione dei dati
Grafico della diffusione della figura del Responsabile della protezione dei dati in Europa sulla base dei dati del CNIL del 2012
Esempio di organigramma di un gruppo di imprese per la gestione dei dati personali secondo le previsioni dell'art.35 del regolamento europeo

Il responsabile della protezione dei dati è una persona esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all'interno di un'azienda, di un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente.

Quando nei paesi anglosassoni questo responsabile opera a livello senior con autonomia decisionale, è definito chief privacy officer, mentre nell'Unione europea la denominazione inglese analoga del ruolo con funzioni dirigenziali è data protection officer ("responsabile della protezione dei dati", nella versione italiana del testo della proposta di regolamento in discussione al Parlamento Europeo)[1]

Storia[modifica | modifica wikitesto]

Anche se la sua diffusione si è verificata maggiormente negli Stati Uniti e nei paesi anglosassoni, la prima comparsa di questo responsabile negli ordinamenti giuridici è stata in Europa, nella legislazione della Germania nel 1970 (Datenschutzbeauftragter).

La sua figura fu poi istituita per la prima volta negli Usa nell'agosto 1999 dalla società AllAdvantage, specializzata in servizi pubblicitari attraverso Internet. La figura fu creata per rispondere alla preoccupazione dei consumatori sull'utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema.[2]

Nel maggio del 2013, la posizione del responsabile della protezione dei dati è stata introdotta nel personale presidenziale della Casa Bianca statunitense. L'amministrazione del presidente Barack Obama ha conferito tale incarico a Nicole Wong, precedentemente direttrice dell'ufficio legale di Twitter e impiegata negli uffici legali di Google.[3][4]

Competenze[modifica | modifica wikitesto]

Il responsabile della protezione dei dati deve possedere conoscenza della normativa sulla gestione dei dati personali nel paese in cui opera (Legge sulla privacy). Deve poter offrire la consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, interagendo coi sistemi di gestione aziendali, per curare l'adozione di misure minime di sicurezza finalizzate alla tutela dei dati, che soddisfino i requisiti di legge. Per evitare i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, deve inoltre curare l'adozione di misure idonee di sicurezza.[5]

In ragione del fatto che l'acquisizione e la gestione dei dati personali avviene in modo preponderante per mezzo digitale, il responsabile della protezione dei dati deve altresì possedere competenze di carattere informatico.

Compiti[modifica | modifica wikitesto]

Secondo la proposta di regolamento europeo sulla protezione dei dati personali, quando una persona viene designata come "responsabile della protezione dei dati", il responsabile del trattamento dei dati (l'azienda o l'ente) deve assicurarsi che sia prontamente coinvolto, che adempia alle funzioni in piena indipendenza allo scopo di non creare un conflitto di interesse nello svolgimento del suo compito di vigilanza sull'attuazione e l'applicazione della normativa.[6] Il responsabile della protezione dei dati riferisce direttamente alla dirigenza e risponde gerarchicamente ad essa. Il responsabile del trattamento sostiene il responsabile della protezione dei dati nel suo ruolo per l'esecuzione dei suoi compiti, fornendogli tutte le risorse necessarie, quali risorse finanziarie, personale, locali, attrezzature e quanto occorrente per adempiere alle funzioni.[7]. A seconda dell'organigramma stabilito dall'azienda o dall'ente, uno o più responsabili della protezione dei dati possono operare anche in gruppo, specialmente nei casi di grandi aziende e multinazionali, nelle quali può essere necessario ricorrere a più soggetti.

L'articolo 37 della proposta di regolamento europeo sulla protezione dei dati personali, elenca i compiti del responsabile della protezione dei dati:[7]

  • informare e consigliare il responsabile del trattamento (o l'incaricato del trattamento) in merito agli obblighi derivanti dal regolamento europeo e conservare la documentazione relativa a tale attività e alle risposte ricevute;
  • sorvegliare l’attuazione e l’applicazione delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti;
  • sorvegliare l’attuazione e l’applicazione del regolamento europeo, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti;
  • garantire la conservazione della documentazione;
  • controllare che le violazioni dei dati personali siano documentate, notificate e comunicate;
  • controllare che il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti;
  • controllare che sia dato seguito alle richieste dell’Authority di controllo individuata dall'ordinamento nazionale (in Italia è il Garante per la protezione dei dati personali) e, nell'ambito delle sue competenze, cooperare con l’Authority di propria iniziativa o su sua richiesta;
  • fungere da punto di contatto per l’Authority per questioni connesse al trattamento e, se del caso, consultare l’Authority di propria iniziativa.

Nel mondo[modifica | modifica wikitesto]

Unione europea[modifica | modifica wikitesto]

Non esiste una normativa ratificata né obblighi comunitari in riferimento a tale professione. Quindici paesi europei su ventotto, tuttavia, hanno definito regole afferenti a questa professione nei propri ordinamenti.[8][9][10][11]

La Commissione europea il 25 gennaio 2012 ha presentato un regolamento unico sulla protezione dei dati personali per i ventotto stati membri[12][13][14][15], per sostituire la direttiva 95/46/CE.[16] approvato, con modifiche, dal Parlamento Europeo il 12 marzo 2014.[17] L'obbligo di nomina di un responsabile della protezione dei dati per le imprese con più di 250 addetti e gli enti pubblici, contiene criteri flessibili basati sulla mole e sulla tipologia di dati trattati, comprendendo le imprese (persone giuridiche) che effettuano trattamenti di dati personali di più di 5.000 interessati in qualsiasi periodo di 12 mesi consecutivi, oppure quando le attività principali consistono in trattamenti che richiedono il controllo regolare e sistematico degli interessati, oltre alle pubbliche amministrazioni, che devono nominare un responsabile della protezione dei dati. [18][19][20][21].

Italia[modifica | modifica wikitesto]

La figura non è prevista dall'ordinamento italiano, il responsabile della protezione dei dati è quindi un libero professionista o un dipendente la cui professione non è regolamentata, non è soggetta a esami, certificazioni, né all'iscrizione ad albi professionali, e rientra quindi nella disciplina della Legge 4/2013 sulle professioni non organizzate in ordini e collegi.[22][23] In Italia, l'associazione che rappresenta i responsabili della protezione dei dati, iscritta nell'elenco delle associazioni di natura privatistica che rilasciano l'attestato di qualità del Ministero dello Sviluppo Economico, è Federprivacy.[24]

Note[modifica | modifica wikitesto]

  1. ^ Proposta di Regolamento Europeo sulla protezione dei dati del 25 gennaio 2012
  2. ^ Il Privacy Officer, figura chiave della data protection europea, Ipsoa, 2013
  3. ^ Il Sole 24 Ore, 8 maggio 2013 "Da Google alla Casa Bianca, Obama nomina una Privacy Officer"
  4. ^ Pionero, 20 marzo 2014 "Protezione dati: la privacy è vista come una burocrazia da aziende e PA"
  5. ^ "Codice in materia di protezione dei dati personali"
  6. ^ Diritto 24, Il Sole 24 Ore, 13 gennaio 2015
  7. ^ a b Proposta di Regolamento Europeo sulla protezione dei dati personali, traduzione italiana della Commissione Europea
  8. ^ Metro "Privacy officer anche in Italia", 11 novembre 2014
  9. ^ AdnKronos, "Due aziende su tre hanno bisogno di un privacy officer"
  10. ^ Cnil, "DPO in Europe"
  11. ^ Manager Online, 16 ottobre 2014 "Aziende a caccia di privacy officer"
  12. ^ News Garante Privacy del 7 febbraio 2012
  13. ^ Il Quotidiano Ipsoa
  14. ^ Medialaws, 3 febbraio 2012 "Le recenti proposte di revisione della normativa europea di protezione dati e il mood dei Garanti europei della privacy"
  15. ^ Protezione dati in Europa: c’è la proposta di riforma
  16. ^ Informazioni di base sull'Unione europea
  17. ^ I deputati inaspriscono le norme per proteggere i dati personali
  18. ^ Archivio Statistico Istat delle Imprese Attive, giugno 2011
  19. ^ Relazione sulla proposta di regolamento del Parlamento europeo e del Consiglio del 22 novembre 2013
  20. ^ La Stampa, 19 maggio 2014 "Il Web 3.0 è alle porte, ma servono nuove regole"
  21. ^ Codice della Privacy prossimo alla pensione: arrivano il Regolamento Europeo e il Privacy Officer
  22. ^ Legge 14 gennaio 2013 n.4 - Riforma delle professioni non organizzate in ordini o collegi
  23. ^ Professioni non regolamentate: nuove possibilità per Record Document Manager e Privacy officer
  24. ^ Italia Oggi Online: Bollino blu per gli esperti di privacy

Voci correlate[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]