Data Protection Officer

Garante: indicazioni sulla nomina del DPO (Data Protection Officer)

Il Garante per la Protezione dei Dati personali, con Newsletter n. 432 del 15.9.2017, è intervenuto per fornire indicazioni sulla nomina del Responsabile della Protezione dei Dati o Data Protection Officer (DPO), prevista agli artt. 37 ss. del Reg. UE 2016/679 (GDPR).

 

Regolamento privacy, come scegliere il responsabile della protezione dei dati
Le prime indicazioni del Garante: necessarie competenze specifiche non attestati formali

 

Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  – introdotta dal Regolamento UE 2016/679 -  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

Nella nota  inviata a un’azienda ospedaliera l’Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.

 

Riflessioni sulla figura del «Privacy Officer» nel Regolamento UE sulla privacy

La normativa sulla privacy ha avuto una rapida evoluzione, da ultimo con il Regolamento dell’UE n. 2016/679, relativo sia alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, sia alla libera circolazione dei dati personali medesimi.

Il regolamento, pubblicato nella Gazzetta Ufficiale dell’UE il 4 maggio 2016, è entrato in vigore il 24 maggio del medesimo anno, ma si applicherà solamente a decorrere dal 25 maggio 2018.

La normativa è complessa e rilevanti sono le novità introdotte dal legislatore europeo, tra cui l’istituzionalizzazione della figura del «Responsabile della protezione dei dati personali», nota come «Privacy Officer» o «Data Protection Officer» (DPO).
Si tratta di soggetto diverso dal «responsabile del trattamento», già ampiamente noto nella nostra esperienza giuridica quale soggetto preposto dal titolare per “governare” o “gestire” in tutto o in pare il trattamento dei dati personali.

Il «Privacy Officer» viene designato sistematicamente dal titolare e dal responsabile del trattamento quando il trattamento dei dati è effettuato da un soggetto pubblico (un’autorità pubblica o un organismo pubblico, fatta eccezione per le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali). Viene altresì designato sistematicamente nel caso in cu ile attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, nonché quando le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di particolari categorie di dati personali, quali i dati sensibili (idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché i dati genetici, quelli biometrici in grado di identificare in modo univoco una persona fisica, i dati relativi alla saluta o alla vita sessuale o, ancora, all’orientamento sessuale di una persona) o di dati relativi a condanne penali e a reati.
Il regolamento europeo prevede che il Privacy Officer sia designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della capacità di assolvere i compiti che la normativa gli riserva: a) informare e fornire consulenza al titolare e al responsabile del trattamento, nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dalla normativa nazionale e internazionale in tema di data protection; b) sorvegliare l’osservanza del regolamento europeo sulla privacy e delle altre normative nazionali e internazionali sulla medesima materia,  nonché l’osservanza delle privacy policies adottate dal titolare o dal responsabile (anche con riferimento all’attribuzione delle responsabilità, alla sensibilizzazione e alla formazione del personale che partecipa ai trattamenti dei dati ed alle connesse attività di controllo); c) fornire, se richiesto, un parere in merito alla valutazione dell’impatto sulla protezione dei dati e sorvegliarne lo svolgimento (v. art. 35); d) cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto con tale autorità per le questioni connesse al trattamento (come ad esempio in cui sorge l’obbligo di consultazione preventiva del Garante, per i trattamenti che, a seguito di valutazione d’impatto sulla protezione dei dati personali, presentino rischi elevati, ovvero nel caso in cui si rendesse opportuno procedere a consultazione per qualunque altra questione). Al Privacy Officer viene altresì richiesto, nell’eseguire i propri compiti, di considerare i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento medesimo.

Si comprende allora che tale figura deve necessariamente possedere sia conoscenze specialistiche della normativa sulla privacy, sia adeguate conoscenze interdisciplinari in materia di analisi dei rischi (in ambito informatico e non) e di gestione degli eventi critici.

Il Privacy Officer può essere designato tra i dipendenti del titolare o del responsabile del trattamento oppure sulla base di un contratto di servizi. Una volta nominato, il titolare o il responsabile del trattamento devono rendere pubblici i dati di contatto del Privacy Officer, a cui possono rivolgersi sia gli interessati, sia l’autorità di controllo.

La normativa non richiede che il Privacy Officer sia individuato tra soggetti iscritti in appositi albi (non previsti per tale disciplina) o in associazioni di categoria, né richiede che sia in possesso di certificazioni.

Il presupposto necessario per la designazione è la conoscenza specialistica sia della normativa di settore che della prassi in materia di protezione dei dati personali, nonché la capacità di adempiere ai compiti di compliance alla normativa e – al contempo – di gestione della protezione dei dati oggetto di trattamento. In altre parole, deve possedere competenze interdisciplinari afferenti tanto al diritto quanto alla gestione della sicurezza dei dati (sotto i diversi profili, incluso quello tecnico-informatico ed organizzativo).
Sorge dunque la necessità, per i dipendenti e per i consulenti esterni che mirino a rivestire il ruolo di Privacy Officer, di curare una preparazione specialistica in tal senso e vedersela attestata da titoli idonei, tra i quali assumono indubbia rilevanza quelli rilasciati in ambito universitario.

L’istituzione della figura del Privacy Officer nel nuovo regolamento europeo, per la verità già anticipata in alcuni provvedimenti del Garante e già operante in altri Paesi dell’UE, offre dunque nuove opportunità di sbocco professionale (o di crescita professionale) in un settore in rapida espansione, la cui crescente complessità richiede persone preparate e competenti.

La formazione migliore passa attraverso Corsi di Alta Formazione o di Master attivati dalle Università più sensibili a tali temi. Titoli universitari incentrati sulla figura del Privacy Officer vendono rilasciati, ad esempio, dall’Università di Bologna con il Corso di Alta Formazione in «Web Security e Privacy Officer» e con il Master in «Trattamento dei dati personali e Privacy Officer», attivati nell’a.a. 2016/17 (i cui termini per la presentazione delle domande sono in scadenza, rispettivamente, il 7 novembre e il 9 dicembre del 2016). Ovviamente è indispensabile che il processo di formazione sia continuo, essendo necessario coltivare un aggiornamento professionale costante.
Fabio Bravo

www.fabiobravo.it

Web Security e Privacy Officer

Presso l’Università di Bologna è attivo il Corso di Alta Formazione in “Web Security e Privacy Officer“, con carattere interdisciplinare, della durata di sette mesi. Tra gli insegnamenti previsti nel piano didattico vi sono le seguenti materie:

  1. Web society e web security (SPS/07)
  2. Sicurezza aziendale e nuove tecnologie (SPS/12)
  3. Indagini investigative e web (INF/01)
  4. Diritto alla protezione dei dati personali e Privacy Officer (IUS/01)

La figura del Privacy Officer (o Data Protection Officer, DPO – Responsabile della Protezione dei Dati) è stata istituzionalizzata nel Regolamento UE n. 2016/679 sulla Privacy, pubblicato oggi (4.5.2016) nella Gazzetta Ufficiale dell’UE.

Di seguito il link al testo integrale del Regolamento ed alla Gazzetta ufficiale: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Chi fosse interessato al predetto Corso di Alta Formazione può consultare il sito di ateneo per gli approfondimenti e le informazioni utili su bando, requisiti e termini per presentare domanda, quota di iscrizioni, direttore, docenti, tutor, etc.

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books