La nuova figura del Data Protection Officer (DPO) sta diventando indispensabile all’interno della Pubblica Amministrazione: il Regolamento Europeo per la Protezione dei Dati Personali 2016/679/UE, entrato in vigore nel maggio 2016, chiede alle organizzazioni un adeguamento alle sue indicazioni e norme entro il maggio 2018.
In particolare i Titolari e i Responsabili del trattamento dei dati sono chiamati alla gestione di ogni sua singola fase con verifiche e valutazioni regolari dell’efficacia delle misure tecniche e organizzative, al fine di garantire la sicurezza del trattamento, tenendo conto in particolar modo dei rischi presentati dal trattamento stesso.
L’approccio sostanzialmente riparatorio che caratterizza l’attuale impianto normativo viene sostituito, attraverso l’introduzione di strumenti quali la Data Protection Impact Analysis, la privacy by design e privacy by default da un’impostazione fondata su una tutela preventiva della privacy, fin dalla progettazione dei prodotti e servizi il cui utilizzo possa incidere sui dati degli utenti.
L’indicazione è che le soluzioni tecnologiche il cui utilizzo possa incidere sui dati degli utenti siano individuate fin dalla fase dell’analisi funzionale della progettazione dei prodotti e servizi, e così per tutte le successive fasi di realizzazione e gestione (privacy by design).
Il Regolamento rappresenta uno stimolo importante per gli aspetti di sicurezza dei sistemi informatici in quanto privacy by design e condivisione delle responsabilità dei Titolari coi soggetti esterni che forniscono servizi, per esempio di outsourcing e di cloud computing, enfatizzano gli aspetti di sicurezza in tutte le fasi del trattamento, incoraggiando la fiducia degli utilizzatori.
La figura del Data Protection Officer
Il Data Protection Officer – il Responsabile della Protezione dei Dati – è la nuova figura responsabile della protezione dei dati personali che sarà obbligatoria per tutta la Pubblica Amministrazione e in alcuni casi anche nelle imprese private, laddove esse operino su dati sensibili o dati giudiziari.
Il Data Protection Officer rappresenta un supervisore indipendente, designato dai vertici aziendali, che gode della fiducia degli utenti, sa agire nel mercato unico digitale europeo, collabora con l’Autorità Garante, supervisiona le attività di titolari e di responsabili dei trattamenti come di tutti i dipendenti in relazione agli aspetti di privacy, verifica e coordina il rispetto del Regolamento, le attribuzioni di responsabilità, la redazione dei documenti operativi, la documentazione delle violazioni dei dati personali.
La individuazione e la scelta del Data Protection Officer avverrà tra il personale interno o esterno alla azienda in base a dimensione, esistenza di competenze richieste all’interno, tipologia dei dati e dei trattamenti, incompatibilità con altre funzioni di responsabilità.
Stime di Federprivacy parlano di 45.000 posizioni di DPO e di 100.000 esperti in materia coinvolti.
Il profilo del Data Protection Officer
Ci sono pareri diversi sui profili professionali del Data Protection Officer:
- da un lato figure di alto livello già presenti in azienda con funzioni di direzione operativa o amministrativa
- dall’altro alto manager dei sistemi informativi o del settore legale
Raffaella Brighi