La materia della Protezione dei Dati Personali sembra accompagnata da fastidio e imbarazzo sia dal lato dei singoli individui, che invece dovrebbero sentirsi personalmente salvaguardati, sia dal lato delle aziende che invece dovrebbero applicarla e garantirla.
Stiamo parlando di un insieme di requisiti astratti, a fatica o solo formalmente compresi, o di un insieme di definizioni che richiedono attenzione nella definizione di una struttura organizzativa e di governo basata su regole, misure, controlli e contromisure su cui le aziende preferiscono non investire ? Per certo si richiede alle aziende che trattano Dati Personali direttamente o indirettamente di fare un passo avanti per accrescere la percezione delle minacce a cui l’evoluzione digitale sta esponendo i Dati Personali. Ed inoltre le Autorita’ legislative sicuramente stanno cercando di dedicare sempre piu’ attenzione su questa materia spesso emettendo specifici requisiti anche se talvolta poi ridotti quando percepiti come troppo proattivi o troppo anticipatori. Questo e’ ben rappresentato dai sempre maggiori sforzi e impegni economici a cui le aziende dichiarano di essere chiamate a esporsi per soddisfare i requisiti mentre, in realta’, questo rivela un sempre maggiore divario tra come le attivita’ vengono svolte e come dovrebbero esserlo.
Siccome le aziende sono esposte a rischi, e le misure sono intraprese e le responsabilita’ sono assunte , e talvolta solo parzialmente, ci si aspettava che il DPO potesse giocare un ruolo di intermediazione tra le diverse Funzioni aziendali in caso di carenze tecniche, organizzative o procedurali. Oggi talvolta il Legale, talaltra il Compliance, talaltra l’HR o anche i settori IT sono chiamati a prendere decisioni e ognuno opera solitamente in base al rispettivo approccio. La necessita’ di indirizzare la materia ad uno specifico ruolo aziendale, direttamente dipendente dal Top Management, avrebbe finalmente suggerito un’autorita’ interna piu’ appropriata, in modo piu’ o meno analogo a quanto e’ stato raggiunto sulla protezione fisica e sulla sicurezza dei lavoratori.
E’ mia opinione che le aziende in genere dovrebbero dotarsi di un approccio organizzativo e di governance di gestione dei Dati Pesonali piu’ strutturato rispetto a quanto fatto finora per aiutare tutti i livelli, da quelli piu’ operativi a quelli di responsabilita’, a comprendere che gli abusi, gli errati usi, la cancellazione, la distruzione o la sottrazione dei Dati Personali potrebbero causare costi molto maggiori rispetto a quanto sarebbe necessario per prevenire gli stessi eventi.
L’unica ragione che vedo per giustificare lo sconto prescrittivo “puo’”, concesso in luogo del precedente “deve”, puo’ essere individuato nella successiva definizione che impone il “deve” “laddove richiesto dall’Unione o da Stati Membri”, cosa che apre il requisito agli attuali differenti gradi di rigore prescrittivo presentenegli ordinamenti dei singoli Stati o ai diversi risultati dell’analisi di rischio, spesso assunti come veri fino a diverso avviso o solo in caso di incidente. Questo farebbe pensare al fatto che viene richiesto agli Stati Membri di prescrivere legittimamente una misura organizzativa piu’ rigida in caso lo ritenessero piu’ idoneo ed e’ quanto potrebbe ragionevolmente capitare in Stati come il nostro.
E’ presumibile che non sposti di molto il problema il fatto che, secondo l’opinione dell’Organismo di Vigilanza Europeo per la protezione dei Dati Personali, autorevolmente rappresentato dall’italiano Giovanni Buttarelli, venga conservata una raccomandazione secondo la stesura precedente che prescriveva il ruolo del DPO. Questo aiuta semplicemente a comprendere dove si concentrano i pareri circa la prassi migliore.
One of the goals of the Regulation was to have the same rules throughout EU. That’s why I don’t expect that local Data Protection Authorities will play a role in making the law tougher in their countries. It would be a step back to a country by country Data protection.
Probably, the statement mentioned refers to existing national laws that already require the DPO.
The decision taken means that the Council considers too expensive and too heavy a mandatory DPO (but also other aspects) for all the enterprises and too difficult to decide upfront who shoud be obliged and who should not.
It can be easier to decide more binding rules by industry, with industry-specific regulations: as it was done in the past, for istance, with Telcos and can be done in the future.