PUNTI DI VISTA

Data protection officer: così funzionerà in Italia

Il regolamento Ue sulla protezione dei dati personali, in via di approvazione, obbliga i paesi membri a nominare un responsabile per la privacy nelle PA. E in Italia si scalda il dibattito: riflettori su status e certificazione delle competenze

Pubblicato il 29 Lug 2014

privacy-130508115703

In vista dell’approvazione definitiva del regolamento europeo sulla protezione dei dei dati personali, la designazione della figura di Data Protection Officer (responsabile della protezione dei dati ovvero Dpo) volta a rendere più effettiva l’applicazione della normativa sulla protezione dei dati personali, sta entrando nel vivo del dibattito anche in Italia. Il Dpo è un supervisore indipendente che sarà designato obbligatoriamente, da soggetti apicali di tutte le pubbliche amministrazioni e anche in ambito privato. A seconda del contesto in cui dovrà operare, il Dpo dovrà essere in grado di gestire questioni inerenti le diverse giurisdizioni.

Tra i complessi compiti affidati al Dpo si possono elencare: 1) sorvegliare la corretta applicazione della normativa sulla protezione dei dati, incluse le misure e le procedure tecniche e organizzative; 2) sorvegliare la corretta applicazione della protezione dei dati sin dalla progettazione degli applicativi (privacy by design), garantendo per gli stessi delle impostazioni privacy predefinite (privacy by default) nonchè la sicurezza dei dati; 3) effettuare ispezioni, consultazioni, attività di documentazione; 4) partecipare alla redazione dei Data protection impact analysis (c.d. Dpia), laddove le caratteristiche dei trattamenti dei dati lo rendano indispensabile; 5) fungere da contact point e collaborare con l’Autorità Garante per la protezione dei dati personali; 6) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (c.d. Data Breach Notification Management).

Sotto il profilo dello status, dovrà molto probabilmente occupare una posizione dirigenziale o manageriale, profilo senior, soprattutto per garantire la non ingerenza nelle proprie attività da parte del titolare e dovrà essere dotato di personale, locali e attrezzature sufficienti per adempiere i propri compiti, sebbene non è esplicito nel testo del regolamento, dovrà anche essere dotato di una propria linea di budget. Il Dpo potrà anche essere interno all’azienda oppure esterno in forza di un contratto di servizi, in quest’ultimo caso con una durata di quattro anni.

Un aspetto troppo spesso trascurato nell’attuale dibattito è che la designazione del Dpo è già obbligatoria da oltre dieci anni nelle istituzioni dell’Unione Europea. Analogamente, da alcuni anni in diversi Stati Membri – in base all’art. 18 della Direttiva 95/46/Ce – il Dpo è obbligatorio (Germania, Grecia, Ungheria, Slovacchia), in altri come in Francia, è invece previsto un Dpo ma come una figura facoltativa.

La domanda che a questo punto è cruciale porsi è, qual è il percorso di formazione del Dpo e quali sono requisiti professionali per tale figura? L’esperienza maturata in questi anni in ambito europeo, soprattutto nelle istituzioni, è un importante punto di riferimento per comprendere la figura del Dpo che sta per diventare obbligatoria anche Italia tramite il regolamento.

Il regolamento 45/2001 (art. 24) e i documenti contenenti le best practices europee sul Dpo, forniscono un fondamentale punto di riferimento per la Figura del Dpo anche in Italia.

In particolare, dal dato testuale del Regolamento europeo e dalla documentazione ufficiale in materia, risulta che allo stato non ci sono certificazioni europee per il Dpo, men che meno italiane, nè ci saranno a breve data la specifica volontà del legislatore europeo di affidare agli atti delegati della Commissione europea questa materia. Da una parte si può quindi affermare che non sono indispensabili certificazioni per ricoprire il ruolo del Dpo, è invece necessaria una “conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti”.

Dall’altra parte, è estremamente probabile che le uniche certificazioni relative al Dpo che avranno un valore nei prossimi anni per le stazioni appaltanti in Italia – al fine della designazione del Dpo – saranno solo e soltanto quelle già internazionalmente riconosciute e rilasciate da organismi che operano da anni nel settore come per esempio da Isaca e da Iapp (p.e. Cissp, Cisa, Cism, Cipp et similia) poichè dirette a verificare competenze effettive e non certificazioni semplicemente formali.

Infine, occorre ricordare che per poter ricoprire il ruolo del Dpo, occorrerà quanto meno una conoscenza minimale in ambito tecnico-informatico che sarà in funzione della natura delle attività che svolge il titolare del trattamento, per esempio se il ruolo della Dpo dovesse riguardare un Comune o un ente pubblico potrebbe essere sufficiente una conoscenza tecnica piuttosto minimale, diverso è il discorso se l’impresa fosse invece un operatore telco o un operatore di e-commerce.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati