Riflessioni sulla figura del «Privacy Officer» nel Regolamento UE sulla privacy

La normativa sulla privacy ha avuto una rapida evoluzione, da ultimo con il Regolamento dell’UE n. 2016/679, relativo sia alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, sia alla libera circolazione dei dati personali medesimi.

Il regolamento, pubblicato nella Gazzetta Ufficiale dell’UE il 4 maggio 2016, è entrato in vigore il 24 maggio del medesimo anno, ma si applicherà solamente a decorrere dal 25 maggio 2018.

La normativa è complessa e rilevanti sono le novità introdotte dal legislatore europeo, tra cui l’istituzionalizzazione della figura del «Responsabile della protezione dei dati personali», nota come «Privacy Officer» o «Data Protection Officer» (DPO).
Si tratta di soggetto diverso dal «responsabile del trattamento», già ampiamente noto nella nostra esperienza giuridica quale soggetto preposto dal titolare per “governare” o “gestire” in tutto o in pare il trattamento dei dati personali.

Il «Privacy Officer» viene designato sistematicamente dal titolare e dal responsabile del trattamento quando il trattamento dei dati è effettuato da un soggetto pubblico (un’autorità pubblica o un organismo pubblico, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali). Viene altresì designato sistematicamente nel caso in cu ile attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, nonché quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di particolari categorie di dati personali, quali i dati sensibili (idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati genetici, quelli biometrici in grado di identificare in modo univoco una persona fisica, i dati relativi alla saluta o alla vita sessuale o, ancora, all’orientamento sessuale di una persona) o di dati relativi a condanne penali e a reati.
Il regolamento europeo prevede che il Privacy Officer sia designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della capacità di assolvere i compiti che la normativa gli riserva: a) informare e fornire consulenza al titolare e al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dalla normativa nazionale e internazionale in tema di data protection; b) sorvegliare l’osservanza del regolamento europeo sulla privacy e delle altre normative nazionali e internazionali sulla medesima materia,  nonché l’osservanza delle privacy policies adottate dal titolare o dal responsabile (anche con riferimento all’attribuzione delle responsabilità, alla sensibilizzazione e alla formazione del personale che partecipa ai trattamenti dei dati ed alle connesse attività di controllo); c) fornire, se richiesto, un parere in merito alla valutazione dell’impatto sulla protezione dei dati e sorvegliarne lo svolgimento (v. art. 35); d) cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto con tale autorità per le questioni connesse al trattamento (come ad esempio in cui sorge l’obbligo di consultazione preventiva del Garante, per i trattamenti che, a seguito di valutazione d’impatto sulla protezione dei dati personali, presentino rischi elevati, ovvero nel caso in cui si rendesse opportuno procedere a consultazione per qualunque altra questione). Al Privacy Officer viene altresì richiesto, nell’eseguire i propri compiti, di considerare i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento medesimo.

Si comprende allora che tale figura deve necessariamente possedere sia conoscenze specialistiche della normativa sulla privacy, sia adeguate conoscenze interdisciplinari in materia di analisi dei rischi (in ambito informatico e non) e di gestione degli eventi critici.

Il Privacy Officer può essere designato tra i dipendenti del titolare o del responsabile del trattamento oppure sulla base di un contratto di servizi. Una volta nominato, il titolare o il responsabile del trattamento devono rendere pubblici i dati di contatto del Privacy Officer, a cui possono rivolgersi sia gli interessati, sia l’autorità di controllo.

La normativa non richiede che il Privacy Officer sia individuato tra soggetti iscritti in appositi albi (non previsti per tale disciplina) o in associazioni di categoria, né richiede che sia in possesso di certificazioni.

Il presupposto necessario per la designazione è la conoscenza specialistica sia della normativa di settore che della prassi in materia di protezione dei dati personali, nonché la capacità di adempiere ai compiti di compliance alla normativa e – al contempo – di gestione della protezione dei dati oggetto di trattamento. In altre parole, deve possedere competenze interdisciplinari afferenti tanto al diritto quanto alla gestione della sicurezza dei dati (sotto i diversi profili, incluso quello tecnico-informatico ed organizzativo).
Sorge dunque la necessità, per i dipendenti e per i consulenti esterni che mirino a rivestire il ruolo di Privacy Officer, di curare una preparazione specialistica in tal senso e vedersela attestata da titoli idonei, tra i quali assumono indubbia rilevanza quelli rilasciati in ambito universitario.

L’istituzione della figura del Privacy Officer nel nuovo regolamento europeo, per la verità già anticipata in alcuni provvedimenti del Garante e già operante in altri Paesi dell’UE, offre dunque nuove opportunità di sbocco professionale (o di crescita professionale) in un settore in rapida espansione, la cui crescente complessità richiede persone preparate e competenti.

La formazione migliore passa attraverso Corsi di Alta Formazione o di Master attivati dalle Università più sensibili a tali temi. Titoli universitari incentrati sulla figura del Privacy Officer vendono rilasciati, ad esempio, dall’Università di Bologna con il Corso di Alta Formazione in «Web Security e Privacy Officer» e con il Master in «Trattamento dei dati personali e Privacy Officer», attivati nell’a.a. 2016/17 (i cui termini per la presentazione delle domande sono in scadenza, rispettivamente, il 7 novembre e il 9 dicembre del 2016). Ovviamente è indispensabile che il processo di formazione sia continuo, essendo necessario coltivare un aggiornamento professionale costante.
Fabio Bravo

www.fabiobravo.it

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Nuova riforma del CAD

A seguito dell’entrata in vigore del Regolamento eIDAS dell’UE sulle firme elettroniche, identità elettronica e servizi fiduciari, si è reso necessario un intervento di riforma del Codice dell’Amministrazione Digitale (CAD), avutosi con il D.Lgs. 26 agosto 2016, n. 179, pubblicato ieri in Gazzetta Ufficiale (G.U. 13 settembre 2016, n. 214, Serie Generale).

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Inchiesta sull’avvento dei Robot

Molto interessante l’inchiesta di PresaDiretta (Rai) sull’avvento dei Robot nei diversi settori, sul loro impatto in termini di occupazione e sulla necessità di trovare risposte politiche.
Il discorso, lo si capisce bene vedendo l’inchiesta, riguarda non solo il futuro ma anche il presente, non solo “Palo Alto” in California, ma anche l’Italia.

 

 

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Il Garante Privacy pubblica una “guida” sintetica al Regolamento Privacy

Il Garante ha pubblicato sul proprio sito istituzionale una “guida” sintetica al nuovo Regolamento privacy, con mere finalità divulgative.
Per la versione integrale del regolamento (UE) 679/2016, si rimanda a questo link.

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Web Security e Privacy Officer

Presso l’Università di Bologna è attivo il Corso di Alta Formazione in “Web Security e Privacy Officer“, con carattere interdisciplinare, della durata di sette mesi. Tra gli insegnamenti previsti nel piano didattico vi sono le seguenti materie:

  1. Web society e web security (SPS/07)
  2. Sicurezza aziendale e nuove tecnologie (SPS/12)
  3. Indagini investigative e web (INF/01)
  4. Diritto alla protezione dei dati personali e Privacy Officer (IUS/01)

La figura del Privacy Officer (o Data Protection Officer, DPO – Responsabile della Protezione dei Dati) è stata istituzionalizzata nel Regolamento UE n. 2016/679 sulla Privacy, pubblicato oggi (4.5.2016) nella Gazzetta Ufficiale dell’UE.

Di seguito il link al testo integrale del Regolamento ed alla Gazzetta ufficiale: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Chi fosse interessato al predetto Corso di Alta Formazione può consultare il sito di ateneo per gli approfondimenti e le informazioni utili su bando, requisiti e termini per presentare domanda, quota di iscrizioni, direttore, docenti, tutor, etc.

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Processo civile telematico (PCT) e ricorso per decreto ingiuntivo in formato PDF, ottenuto con scansione di versione cartacea

Un’interessante pronuncia del Tribunale di Verona (4.12.2015) ritiene non condivisibile l’orientamento secondo cui sarebbe nullo e/o inesistente il ricorso per decreto ingiuntivo inoltrato telematicamente in formato PDF, ottenuto attraverso una digitalizzazione con scanner della versione cartacea, anche se firmato digitalmente.

La sanzione della nullità non sarebbe infatti prevista dall’ordinamento. Inoltre, sostiene il Tribunale di Verona, anche nell’ipotesi in cui si volesse ritenere che tale ricorso sia affetto da nullità, la stessa sarebbe in ogni caso da intendersi sanata dall’opposizione dell’ingiunto.

Fabio Bravo | www.fabiobravo.it

 

 

 

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Codice deontologico per trattamenti di dati a fini di informazione commerciale

Il Garante per la protezione del dati personali, unitamente ad associazioni di categoria, ha varato il nuovo Codice di deontologia e di buona condotta per il trattamento di dati personali effettuato a fini di informazione commerciale.

Pubblicato in Gazzetta Ufficiale il 13 ottobre 2015, entrerà in vigore il 16 ottobre 2016.

Qui il testo completo del Codice deontologico.

Di seguito si riporta, invece, la sintesi del provvedimento come diffusa nel comunicato stampa del Garante.

Ricerche limitate a persone con legami giuridici o economici

Per realizzare un dossier di informazione commerciale su un manager o un imprenditore, si possono utilizzare solo i suoi dati personali, oppure quelli di persone fisiche o giuridiche che con lui hanno o hanno avuto legami economici o giuridici.

Informazioni pubbliche o liberamente comunicate

Sono utilizzabili i dati provenienti da “fonti pubbliche”, come i pubblici registri, gli elenchi, i documenti conoscibili da chiunque (bilanci, informazioni contenute nel registro delle imprese presso le Camere di commercio, atti immobiliari e altri atti c.d. pregiudizievoli come l’iscrizione di ipoteca o la trascrizione di pignoramento, decreti ingiuntivi o altri atti giudiziari).

Per la prima volta, saranno utilizzabili a questi fini anche i dati estratti da “fonti pubblicamente e generalmente accessibili da chiunque”, come le testate giornalistiche cartacee o digitali, oltre che informazioni attinte da elenchi telefonici, da siti web di enti pubblici o altre autorità di vigilanza e controllo.

Tutti questi dati, come previsto dal Codice della privacy, possono essere trattati senza il consenso degli interessati.

Potranno essere utilizzati anche i dati personali che il soggetto stesso ha liberamente deciso di comunicare al fornitore di informazioni commerciali.

Gli operatori dovranno sempre annotare la fonte da cui hanno tratto i dati personali sulla persona censita.

Informativa e pronto riscontro agli interessati

Tutte le società del settore dovranno pubblicare un’informativa completa almeno sul proprio sito web. Quelle con un fatturato superiore a 300.000 euro (in questo ambito di attività) dovranno realizzare insieme un unico portale dove inserire le comunicazioni sulle attività di informazione commerciale.

E’ previsto inoltre l’obbligo per gli operatori del settore di garantire un riscontro telematico, tempestivo e completo, alle richieste in materia di privacy avanzate dalle persone censite.

Limiti all’utilizzo e alla conservazione dei dati

I dati personali possono essere conservati solo per periodi di tempo ben definiti e, comunque, trattati nel rispetto dei limiti alla conoscibilità, all’utilizzabilità e alla pubblicità dei dati previsti dalle normative di riferimento (ad esempio quella sulla trasparenza o sulla pubblicità legale degli atti).

Potranno essere trattati anche dati giudiziari (come quelli relativi  ad un’eventuale condanna, ad esempio, per bancarotta fraudolenta) della persona censita. Tali informazioni, se tratte da un giornale, o da un’altra fonte pubblicamente e generalmente accessibile, non possono risalire a più di sei mesi prima.

Dati sempre pertinenti e aggiornati

Gli operatori del settore dovranno utilizzare solo dati pertinenti e non eccedenti l’attività di informazione commerciale. I dati dovranno essere sempre aggiornati.

Sicurezza delle informazioni

Le società dovranno adottare misure per garantire la sicurezza, l’integrità e la riservatezza delle informazioni commerciali.

 

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Dichiarazione dei Diritti in Internet

Oggi, 29 luglio 2015, la Commissione per i Diritti e i Doveri in Internet, presieduta da Stefano Rodotà, ha presentato alla Camera dei Deputati in nuovo testo della Dichiarazione dei Diritti in Internet, redatta a seguito di consultazione pubblica.

Consta di 14 articoli. E’ consultabile a questo link in versione integrale (PDF).

 

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

Identità digitale e accreditamento degli Identity Providers

L’AgID (Agenzia per l’Italia Digitale) ha varato il regolamento per l’accreditamento e la vigilanza dei gestori dell’Identità digitale al fine di giungere, entro dicembre 2015, all’attuazione del Sistema Pubblico per la Gestione dell’Identità Digitale (SPID) nei rapporti con la P.A., con il rilascio delle prime identità digitali a cittadini e imprese.

Entro i successivi 24 mesi è previsto che tutte le P.A. permetteranno di accedere ai propri servizi attraverso le identità digitali rilasciate dal sistema SPID.

L’accreditamento dei Gestori dell’Identità Digitale (Identity Providers) è prevista per il 15 settembre.

Il predetto regolamento è accompagnato da altri tre, consultabili a questo link:

  • il regolamento recante le caratteristiche del sistema pubblico per la gestione dell’identità digitale
  • il regolamento recante tempi e modalità di adozione del sistema da parte delle pubbliche amministrazioni e delle imprese
  • il regolamento relativo alle regole necessarie ai gestori di identità digitale per il riuso delle identità pregresse

 

 

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email

La responsabilità civile degli Internet Service Providers

 E’ stato pubblicato di recente il mio contributo dal titolo F. Bravo, La responsabilità civile degli Internet Service Providers, in G.Alpa e G. Conte (a cura di), La responsabilità d’impresa, Giuffrè, Milano, 2015, pp. 688-770.

 

Share and Enjoy:
  • Facebook
  • Twitter
  • MySpace
  • LinkedIn
  • FriendFeed
  • Google Buzz
  • Live
  • del.icio.us
  • RSS
  • email
EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books