Corso di Alta Formazione in Web Security e Privacy Officer

Convegno “Cybersecurity e Data Protection” (Bologna, 11.5.2017)

cybersecurty-dataprotection3

 Nell’ambito del Corso di Alta Formazione in “Web Security e Privacy Officer” organizzato dall’Università di Bologna insieme alla Fondazione Alma Mater, è in programma per giovedì 11 maggio 2017 il Convegno dal titolo “Cybersecurity e Data Protection”, con il patrocinio di Unindustria Bologna e dell’AIIP (Associazione Italiana Internet Provider).

Il Convegno, con accesso libero, si svolge presso la sede universitaria di Strada Maggiore 45, Palazzo Hercolani, Sala Poeti.

Si articola in due sessioni:

10:00-13:00 – Tavola Rotonda sul tema “Cybersecurity e Data Protection. La Network and Information Security Directive (direttiva 2016/1148/UE) e le modalità di attuazione

14:00-18:00 – Relazioni sul tema “Privacy e Data Protection. Il dialogo con le imprese alla luce del nuovo Regolamento europeo sulla privacy“.

E’ in corso l’accreditamento del Convegno presso l’Ordine degli Avvocati ai fini del riconoscimento dei crediti per la formazione continua.

La locandina del Convegno, con il programma completo e con l’elenco dei relatori, è disponibile al seguente link:
http://campus.unibo.it/281629/14/Convegno_UNIBO_Cybersecurity-DataProtection_11-05-17_def.pdf

Riflessioni sulla figura del «Privacy Officer» nel Regolamento UE sulla privacy

La normativa sulla privacy ha avuto una rapida evoluzione, da ultimo con il Regolamento dell’UE n. 2016/679, relativo sia alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, sia alla libera circolazione dei dati personali medesimi.

Il regolamento, pubblicato nella Gazzetta Ufficiale dell’UE il 4 maggio 2016, è entrato in vigore il 24 maggio del medesimo anno, ma si applicherà solamente a decorrere dal 25 maggio 2018.

La normativa è complessa e rilevanti sono le novità introdotte dal legislatore europeo, tra cui l’istituzionalizzazione della figura del «Responsabile della protezione dei dati personali», nota come «Privacy Officer» o «Data Protection Officer» (DPO).
Si tratta di soggetto diverso dal «responsabile del trattamento», già ampiamente noto nella nostra esperienza giuridica quale soggetto preposto dal titolare per “governare” o “gestire” in tutto o in pare il trattamento dei dati personali.

Il «Privacy Officer» viene designato sistematicamente dal titolare e dal responsabile del trattamento quando il trattamento dei dati è effettuato da un soggetto pubblico (un’autorità pubblica o un organismo pubblico, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali). Viene altresì designato sistematicamente nel caso in cu ile attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, nonché quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di particolari categorie di dati personali, quali i dati sensibili (idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati genetici, quelli biometrici in grado di identificare in modo univoco una persona fisica, i dati relativi alla saluta o alla vita sessuale o, ancora, all’orientamento sessuale di una persona) o di dati relativi a condanne penali e a reati.
Il regolamento europeo prevede che il Privacy Officer sia designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della capacità di assolvere i compiti che la normativa gli riserva: a) informare e fornire consulenza al titolare e al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dalla normativa nazionale e internazionale in tema di data protection; b) sorvegliare l’osservanza del regolamento europeo sulla privacy e delle altre normative nazionali e internazionali sulla medesima materia,  nonché l’osservanza delle privacy policies adottate dal titolare o dal responsabile (anche con riferimento all’attribuzione delle responsabilità, alla sensibilizzazione e alla formazione del personale che partecipa ai trattamenti dei dati ed alle connesse attività di controllo); c) fornire, se richiesto, un parere in merito alla valutazione dell’impatto sulla protezione dei dati e sorvegliarne lo svolgimento (v. art. 35); d) cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto con tale autorità per le questioni connesse al trattamento (come ad esempio in cui sorge l’obbligo di consultazione preventiva del Garante, per i trattamenti che, a seguito di valutazione d’impatto sulla protezione dei dati personali, presentino rischi elevati, ovvero nel caso in cui si rendesse opportuno procedere a consultazione per qualunque altra questione). Al Privacy Officer viene altresì richiesto, nell’eseguire i propri compiti, di considerare i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento medesimo.

Si comprende allora che tale figura deve necessariamente possedere sia conoscenze specialistiche della normativa sulla privacy, sia adeguate conoscenze interdisciplinari in materia di analisi dei rischi (in ambito informatico e non) e di gestione degli eventi critici.

Il Privacy Officer può essere designato tra i dipendenti del titolare o del responsabile del trattamento oppure sulla base di un contratto di servizi. Una volta nominato, il titolare o il responsabile del trattamento devono rendere pubblici i dati di contatto del Privacy Officer, a cui possono rivolgersi sia gli interessati, sia l’autorità di controllo.

La normativa non richiede che il Privacy Officer sia individuato tra soggetti iscritti in appositi albi (non previsti per tale disciplina) o in associazioni di categoria, né richiede che sia in possesso di certificazioni.

Il presupposto necessario per la designazione è la conoscenza specialistica sia della normativa di settore che della prassi in materia di protezione dei dati personali, nonché la capacità di adempiere ai compiti di compliance alla normativa e – al contempo – di gestione della protezione dei dati oggetto di trattamento. In altre parole, deve possedere competenze interdisciplinari afferenti tanto al diritto quanto alla gestione della sicurezza dei dati (sotto i diversi profili, incluso quello tecnico-informatico ed organizzativo).
Sorge dunque la necessità, per i dipendenti e per i consulenti esterni che mirino a rivestire il ruolo di Privacy Officer, di curare una preparazione specialistica in tal senso e vedersela attestata da titoli idonei, tra i quali assumono indubbia rilevanza quelli rilasciati in ambito universitario.

L’istituzione della figura del Privacy Officer nel nuovo regolamento europeo, per la verità già anticipata in alcuni provvedimenti del Garante e già operante in altri Paesi dell’UE, offre dunque nuove opportunità di sbocco professionale (o di crescita professionale) in un settore in rapida espansione, la cui crescente complessità richiede persone preparate e competenti.

La formazione migliore passa attraverso Corsi di Alta Formazione o di Master attivati dalle Università più sensibili a tali temi. Titoli universitari incentrati sulla figura del Privacy Officer vendono rilasciati, ad esempio, dall’Università di Bologna con il Corso di Alta Formazione in «Web Security e Privacy Officer» e con il Master in «Trattamento dei dati personali e Privacy Officer», attivati nell’a.a. 2016/17 (i cui termini per la presentazione delle domande sono in scadenza, rispettivamente, il 7 novembre e il 9 dicembre del 2016). Ovviamente è indispensabile che il processo di formazione sia continuo, essendo necessario coltivare un aggiornamento professionale costante.
Fabio Bravo

www.fabiobravo.it

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books