Siete qui: Oggi sulla stampa
Oggi sulla stampa

Un professionista per la privacy

Il regolamento Ue sulla protezione dei dati (2016/679) mette sotto i riflettori il Data protection officer (Dpo) e i garanti europei ne hanno dato un identikit (Linee guida del gruppo di lavoro articolo 29 dei Garanti privacy Ue, disponibili in italiano sul sito www.garanteprivacy.it).

Il Dpo è un esperto giuridico, che mastica anche di informatica e che deve garantire il pubblico che l’impresa o una pubblica amministrazione rispettano la privacy.

Conoscitore dell’ente o dell’azienda, ma indipendente dagli obiettivi di business o istituzionali. Un piede dentro e un piede fuori. Consulente dell’azienda/P.a., ma nell’interesse dei clienti/utenti. Censisce i trattamenti, ma non è coinvolto nei trattamenti. Non può essere il responsabile It e neppure il dirigente del marketing, ma può essere un dipendente interno.

Proprio queste ambivalenze, apparentemente contraddittorie, costruiscono la specializzazione del Dpo (anche se in Italia il Garante Privacy lo chiama Rpd, responsabile della protezione dei dati).

Ma vediamo quali sono le qualità professionali che, secondo i Garanti europei, un Rpd deve possedere.

In base all’articolo 37, paragrafo 5, del Regolamento Ue, il Rpd è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i propri compiti. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento. I garanti europei spiegano che, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il Rpd avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto.

Importante è poi l’analisi delle competenze e delle conoscenze specialistiche.

I Garanti Ue distinguono tre livelli: approfondita conoscenza del regolamento Ue 2016/679; conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati; conoscenza dello specifico settore di attività e dell’organizzazione del titolare/del responsabile; familiarità con le operazioni di trattamento svolte; familiarità con tecnologie informatiche e misure di sicurezza dei dati.

I termini usati dimostrano una scaletta delle materie, ordinate in quelle di cui bisogna avere approfondita conoscenza, oppure conoscenza oppure familiarità.

Le conoscenza devono essere la base per sviluppare la capacità di promuovere una cultura della protezione dati all’interno dell’organizzazione del titolare/del responsabile.

Giurista o informatico? Il problema non è di titolo di studio, ma di competenze. E il regolamento, ma anche le linee guida dei garanti europei sono chiari nella indicazione, proprio richiedendo un livello approfondito per le materie giuridiche e un livello base per le materie informatiche.

Soluzioni diverse, ad esempio un monopolio di un sapere sull’altro o una sproporzione dell’esperienza informatica rispetto a quella legale, sono molto, molto pericolose. Questo perché eventuali scorrettezze nella nomina del Rpd mettono addirittura a rischio di gravi sanzioni amministrative pecuniarie. Su questo punto il dibattito, come suol dirsi, ferve. A livello italiano è in consultazione pubblica uno schema di norma Uni, a proposito del quale sono emerse preoccupazioni proprio per una sproporzione a discapito della esperienza giuridica ed a favore della competenza informatica (impostazione disallineata con la normativa europea).

In proposito Luca Bolognini, presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati, ha rilevato che la lettura del regolamento chiarisce che il Dpo dovrà avere competenza sulle leggi e sulle pratiche di protezione dei dati nazionali ed europee e una conoscenza approfondita del Regolamento 2016/679 (Ue). Si tratta, secondo l’Istituto Italiano Privacy, dunque, indubbiamente, il Dpo risponde a un profilo, esternalizzato o interno ma senza conflitti d’interesse, di legale esperto, avvocato o, per gli aspetti non relativi a consulenza privacy stragiudiziale comunque connessa all’attività giurisdizionale, che restano di esclusiva professionale forense, anche di giuristi di impresa e laureati in giurisprudenza che abbiano maturato adeguate competenze in materia di data protection law. Per altre figure, non laureate in legge e proveniente da altri ambiti universitari, tuttavia, prosegue Bolognini, «si dovrà inevitabilmente dimostrare, nella sostanza e non con medaglie o formalismi, la successiva alta formazione e l’elevato grado di competenza di questi soggetti in materie giuridiche».

Con riferimento all’ambito tecnologico e di security è pertanto necessaria una sufficiente comprensione, senza dovere dimostrare «expertise and in-depth understanding» ingegneristiche.

Risorse. I garanti europei dettagliano le risorse da mettere a disposizione del Rpd.

A seconda della natura dei trattamenti, e delle attività e dimensioni della struttura del titolare o del responsabile del trattamento, il Rpd deve poter disporre di:

– supporto attivo della funzione di Rpd da parte del senior management;

– tempo sufficiente per l’espletamento dei compiti affidati;

– supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e, ove opportuno, personale;

– comunicazione ufficiale della designazione del Rpd a tutto il personale;

– accesso garantito ad altri servizi all’interno della struttura in modo da ricevere tutto il supporto, le informazioni o gli input necessari;

– formazione permanente.

No conflitti di interesse. In ogni caso il Rpd non potrà rivestire, all’interno dell’organizzazione dell’azienda o dell’ente pubblico. Un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. I Garanti europei hanno snocciolato alcuni esempi: possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile It), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento.

Antonio Ciccia Messina

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

ROMA — Un’esigenza comune percorre l’Europa investita dalla seconda ondata del Covid-19. Mai c...

Oggi sulla stampa

Oggi sulla stampa

ROMA — L’Italia è pronta ad alzare le difese, e si allinea con l’Unione europea, nei confront...

Oggi sulla stampa

Oggi sulla stampa

MILANO — Nel giorno in cui il consiglio di Atlantia ha deliberato il percorso per uscire da Aspi, ...

Oggi sulla stampa