Si è tenuto il 29/1/16 il workshop promosso da EUROPRIVACY, dedicato alle conseguenze pratiche del nuovo Regolamento Europeo sulla Privacy. Ho trovato particolarmente interessante la disamina della figura del Data Protection Officer, trattata nella presentazione di Biagio Lammoglia con Fabio Guasconi e poi ripresa nella tavola tematica di approfondimento moderata dagli stessi relatori.
Diversi gli aspetti presi in considerazione:
DESIGNAZIONE (art. 35 del GDPR) – obbligatoria per enti pubblici, condizionata per i privati dalla presenza di alcune circostanze: trattamento massiccio, regolare e sistematico di dati personali come core business (qualcuno ha detto BIG DATA?) oppure trattamento di dati sensibili o giudiziari su larga scala. Sarà fondamentale vedere la traduzione esatta dei termini utilizzati e quale sarà la loro interpretazione più corretta per definire il perimetro delle aziende “obbligate” alla nomina del DPO.
POSIZIONE (art. 36) – il ruolo dovrà essere caratterizzato da trasversalità, adeguate risorse economiche, autonomia, tutela, alto livello gerarchico e assenza di conflitto di interessi con eventuali altri ruoli dello stesso soggetto: una tale configurazione a mio parere ne rende estremamente onerosa la collocazione all’interno dell’azienda. Le società di consulenza possono quindi legittimamente attendersi che la maggior parte delle aziende, almeno piccole e medie, preferiscano affidarsi ad un DPO esterno?
COMPITI (art.37) – il DPO risulta essere investito di responsabilità di sensibilizzazione (informare e consigliare), controllo (vigilare su osservanza, responsabilità, formazione e audit), supporto strategico (contribuire a PIA e risk assessment) e rappresentanza (verso il Garante): attività tutt’altro che operative; sembrerebbe quindi che il ruolo del DPO, come delineato dal GDPR, si configuri come una figura eminentemente di controllo (seppur distinta dall’Internal Audit), ben diversa da chi ha la responsabilità di “fare ” la privacy.
DESIGNAZIONE (art. 35 del GDPR) – obbligatoria per enti pubblici, condizionata per i privati dalla presenza di alcune circostanze: trattamento massiccio, regolare e sistematico di dati personali come core business (qualcuno ha detto BIG DATA?) oppure trattamento di dati sensibili o giudiziari su larga scala. Sarà fondamentale vedere la traduzione esatta dei termini utilizzati e quale sarà la loro interpretazione più corretta per definire il perimetro delle aziende “obbligate” alla nomina del DPO.
POSIZIONE (art. 36) – il ruolo dovrà essere caratterizzato da trasversalità, adeguate risorse economiche, autonomia, tutela, alto livello gerarchico e assenza di conflitto di interessi con eventuali altri ruoli dello stesso soggetto: una tale configurazione a mio parere ne rende estremamente onerosa la collocazione all’interno dell’azienda. Le società di consulenza possono quindi legittimamente attendersi che la maggior parte delle aziende, almeno piccole e medie, preferiscano affidarsi ad un DPO esterno?
COMPITI (art.37) – il DPO risulta essere investito di responsabilità di sensibilizzazione (informare e consigliare), controllo (vigilare su osservanza, responsabilità, formazione e audit), supporto strategico (contribuire a PIA e risk assessment) e rappresentanza (verso il Garante): attività tutt’altro che operative; sembrerebbe quindi che il ruolo del DPO, come delineato dal GDPR, si configuri come una figura eminentemente di controllo (seppur distinta dall’Internal Audit), ben diversa da chi ha la responsabilità di “fare ” la privacy.
Apparirebbe quindi necessaria la duplicazione delle figure: un DPO (come descritto sopra) ed una distinta figura, che potrebbe essere chiamata PRIVACY OFFICER, investita di tutte le attività operative. E’ evidente che molte aziende non gradiranno questa ridondanza, ma è difficile pensare che possano dotarsi solo di una funzione di controllo (e allora chi farebbe le cose da fare?) o che il controllore possa assumere anche gli incarichi operativi (così controllerebbe sé stesso…). Ancora una volta verrebbe da pensare che il Privacy Officer sia opportunamente collocato in azienda, mentre il DPO sia esterno. Ma questa potrebbe essere una visione troppo influenzata dalle aspettative dei consulenti esterni… categoria alla quale mi capita di apartenere!
Questa interpretazione sarà oggetto di discussione nell’ambito del progetto UNINFO E14D00036, che ha il compito di emettere una norma UNI specifica per le figure professionali della privacy, in coerenza con la legge 4/2013 sulle professioni non organizzate ed utilizzando lo schema EU e-CF (e-competence framework).