Nuovo regolamento sulla privacy UE: Data Protection Officer cosa cambia?

Anche se non tutti ancora se ne sono resi conto, il 24 maggio 2016 è entrato in vigore il nuovo regolamento europeo sulla protezione dei dati numero 2016/679.
Questo regolamento, che finalmente ha armonizzato la eterogeneità di disposizioni in materia di trattamento e protezione dei dati personali, esistente in Europa, ha creato dei nuovi profili professionali, che al momento il mondo del lavoro e della consulenza è ancora ben lungi dall’essere in grado di soddisfare.
Il precedente decreto legislativo 196/2003, che dava attuazione ad una direttiva europea, aveva individuato un solo profilo professionale, che, molto alla lontana, poteva avvicinarsi a uno dei due profili formalmente istituiti dal regolamento europeo.
Stiamo parlando del responsabile del trattamento dei dati personali.
Il decreto legislativo descriveva questo soggetto in modo oltremodo sintetico:

  • Art. 29. Responsabile del trattamento
  • 1. Il responsabile è designato dal titolare facoltativamente.
  • 2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
  • 3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
  • 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
  • 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.

Corso di Formazione

corso data protection officer
Data Processor - Data Protection Officer
Le nuove figure professionali introdotte dal Regolamento europeo sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali
Regolamento (UE) 2016/679 del 27 aprile 2016 (Gazzetta ufficiale dell'Unione europea del 04/05/2016)
Corso qualificato per la Certificazione di “European Data Processor" e “European Data Protection Officer”
110 Crediti Formativi (CFP) CNI

Il nuovo regolamento europeo affronta il problema in una maniera completamente diversa, dedicando alla illustrazione dei compiti e delle responsabilità di questo soggetto un ponderoso articolo, suddiviso in commi e lettere, che illustra in grande dettaglio quale deve essere il profilo professionale di questo soggetto. Questo soggetto assume delle responsabilità, che comportano anche, in caso di violazione, l’applicazione di sanzioni pesantissime, che nulla hanno a che vedere con le sanzioni, tutto sommato ancora modeste, che il precedente decreto legislativo prevedeva.
Un altro aspetto di estrema importanza riguarda anche il fatto che vi è una responsabilità in solido fra il titolare del trattamento ed il suo responsabile, a riprova del fatto che il titolare deve assumere ogni ragionevole cautela ed ogni ragionevole prudenza nell’individuare un soggetto, che possa operare come responsabile del trattamento di dati personali. Se quest’ultimo sbaglia, pagano tutti e due!

Dal responsabile del trattamento al responsabile della protezione dei dati

Se quindi la figura del responsabile del trattamento, seppure in una forma assai più sfumata, è già presente oggi in Italia, la situazione cambia in maniera drammatica quando andiamo ad analizzare il profilo, affatto innovativo, che fa riferimento al responsabile del trattamento dei dati personali.
Una intera sezione è dedicata a questo profilo professionale, laddove l’articolo 37 illustra le modalità con cui deve essere designato questo responsabile, l’articolo 38 illustra la posizione del responsabile nel contesto dell’azienda ed infine all’articolo 39 illustra in dettaglio i compiti di questo responsabile.
D’altro canto, la novità di questo profilo ben giustifica l’ampio spazio che nel regolamento è dedicato all’illustrazione di questo profilo.
L’Italia, da questo punto di vista, si trova in difficoltà rispetto a numerose altre nazioni europee, per il semplice fatto che in altre nazioni questo profilo era stato già istituito da tempo, proprio perché le autorità garanti locali si erano ben rese conto del fatto che era indispensabile creare un profilo professionale, che operasse in maniera terza, nei confronti del titolare del responsabile del trattamento, per dare ogni garanzia della puntuale applicazione e del puntuale rispetto dei dettati delle leggi nazionali. In Italia questa esigenza non si è mai sentita o, se si è sentita, l’autorità garante non ha materializzato questo profilo.
Ecco perché oggi occorre accelerare al massimo la formazione di questi nuovi soggetti come Data Protecion Officer DTO (nel link la proposta di INFORMA), che ovviamente non sarà sufficiente che si dichiarino pronti ad assumere questo ruolo, ma dovranno offrire garanzie oggettive.

La normativa UNINFO

Proprio per questo motivo già da parecchi mesi UNINFO, vale a dire l’ente nazionale che è specializzato nello sviluppare normative a forte contenuto informatico, si è attivata, in collaborazione con l’UNI, per sviluppare i due profili professionali sopra illustrati, inquadrandoli nelle professioni non ordinistiche, e sviluppando una apposita norma.
Questa norma sembra ormai in dirittura di arrivo e prevede la creazione di due profili principali, corrispondenti rispettivamente al responsabile del trattamento ed al responsabile della protezione dei dati, che possono a loro volta avvalersi della collaborazione, indubbiamente preziosa, di altri soggetti, che sono specializzati in aree particolari.
Sono stati ad oggi individuati tre sotto profili in corrispondenza del responsabile del trattamento e sette sotto profili, in corrispondenza del responsabile della protezione.

POTREBBE INTERESSARTI

Corso di formazione
corso data protection officer
Data Processor - Data Protection Officer
Le nuove figure professionali introdotte dal Regolamento europeo sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali
Regolamento (UE) 2016/679 del 27 aprile 2016 (Gazzetta ufficiale dell'Unione europea del 04/05/2016)
Corso qualificato per la Certificazione di “European Data Processor" e “European Data Protection Officer”
110 Crediti Formativi (CFP) CNI

Libro
libro regolamento europeo protezione dati
Il nuovo regolamento europeo sulla protezione dei dati
Guida pratica alla nuova privacy e ai principali adempimenti del Regolamento UE 2016/679. Nel CD-Rom allegato provvedimenti legislativi e regolamentari, documenti di supporto e strumenti di lavoro

Manualistica lavoratori
abc trattamento dati personali
Abc del trattamento dei dati personali
Manuale ad uso degli incaricati della privacy. Aggiornato con il Regolamento UE 2016/679

Ma non è finita qui

Il nuovo regolamento impone a tutti coloro che trattano dati personali di sviluppare delle apposite valutazioni delle modalità di trattamento, chiamate rispettivamente protezione dei dati fin dalla progettazione e protezione per impostazione predefinita. Nessuno in Italia ha mai chiesto di sviluppare queste analisi delle modalità di trattamento dei dati e quindi occorre imparare in fretta a impostare e sviluppare queste analisi che, ripeto, devono essere sviluppate per qualsiasi tipo di trattamento. Per rendere la cosa ancora più impegnativa, se il trattamento fà riferimento a situazioni che potrebbero essere potenzialmente critiche, nei confronti della protezione dei dati, occorre sviluppare una ulteriore valutazione d’impatto sulla protezione dei dati, che è anch’essa operazione mai sinora compiuta, almeno ufficialmente, in Italia. In altre parole, in Italia c’è da correre assai più che in altri paesi, per garantire all’interessato al trattamento che i suoi dati verranno correttamente trattati e protetti al più tardi entro il 24 maggio del 2018, data ultima nella quale il regolamento europeo dovrà essere pienamente recepito ed attuato.

Di quanti soggetti abbiamo bisogno e dove possiamo trovarli?

Sono state già condotte delle analisi, sulla base delle indicazioni del regolamento, che permettono di attribuire un valore numerico, almeno approssimato, alle esigenze del mercato, in termini di responsabili del trattamento dei dati.
Premesso che il regolamento, come già il decreto legislativo italiano, non rende obbligatoria la designazione di un responsabile del trattamento dei dati, è ben vero che saranno numerosissime le aziende in cui il titolare non avrà certamente nè il tempo, né le competenze per assumersi le responsabilità connesse al trattamento dei dati. Il titolare dovrà necessariamente appoggiarsi a soggetti qualificati, facendo bene attenzione al fatto che un errore del soggetto da lui scelto si riflette immediatamente sul titolare stesso.
Parlare di decine di migliaia di responsabili del trattamento non significa certamente parlare a vanvera!

La situazione diventa più critica quando si analizza quanti responsabili della protezione dei dati saranno necessari in Italia. Il regolamento dedica un articolo specifico, l’articolo 37, alla illustrazione di tutti i casi in cui è obbligatoria la designazione del responsabile della protezione dei dati.
La designazione è obbligatoria quando il trattamento effettuato dal monte da un’autorità pubblica od un organismo pubblico. La designazione è parimenti obbligatoria quando i trattamenti svolti dal titolare, per loro natura, ambito di applicazione e finalità richiedono un monitoraggio regolare e sistematico degli interessati, su larga scala.
Infine la designazione è obbligatoria quando il trattamento, svolto su larga scala, si applica a categorie particolari di dati personali, che noi oggi tendiamo a chiamare “sensibili”. L’elenco di queste categorie particolari è offerto nell’articolo 9 del regolamento.
Infine, tanto per complicare ancora la vita, è data facoltà all’autorità garante nazionale di individuare ulteriori tipologie di trattamento, per le quali è obbligatoria la designazione del responsabile della protezione dei dati.
Un primo calcolo approssimato, sviluppato da un ente specializzato di livello europeo, parla di almeno 5000 professionisti della protezione dei dati, che devono soddisfare a livelli di competenza, abilità ed esperienza non trascurabili, anzi direi molto impegnativi. L’unico motivo per cui numero non è molto più elevato discende dal fatto che il regolamento consente ad uno stesso responsabile della protezione dei dati di operare a supporto di più titolari.
Per fortuna, la imminente disponibilità di una norma italiana, che quindi ha valore di conformità alla regola d’arte, permetterà a molti candidati di sviluppare e approfondire le proprie conoscenze, di modo da poter affrontare il percorso di certificazione, che è l’unico percorso oggettivo, che permette ad un responsabile del trattamento o ad un responsabile della protezione dei dati di affermare pubblicamente la propria qualificazione, non perché egli lo affermi in proprio, ma perché un ente di certificazione, debitamente accreditato, lo ha esaminato e certificato.
Un conto è dire: “Dottore, si fidi di me perché sono bravo”; altro è dire “Dottore si fidi di me perché un ente di certificazione accreditato mi ha esaminato a fondo e ha detto che sono bravo!”.



Adalberto Biasiotti