Responsabile della protezione dei dati

In questo articolo esploreremo in modo approfondito Responsabile della protezione dei dati, un argomento che ha catturato l'attenzione di milioni di persone in tutto il mondo. Fin dalla sua nascita, Responsabile della protezione dei dati ha generato dibattiti, controversie e grande interesse in vari campi, sia nella scienza, nella cultura, nella politica o nella società in generale. Nel corso degli anni, Responsabile della protezione dei dati si è evoluto e ha influenzato la vita delle persone in modi diversi, diventando un fenomeno che merita di essere analizzato e compreso a fondo. In questa ricerca analizzeremo le diverse sfaccettature e prospettive di Responsabile della protezione dei dati, con l’obiettivo di fare luce su questo argomento così attuale oggi.

Nicole Wong, nominata Deputy US Chief Technology Officer della Casa Bianca nel 2013
Sintesi di competenze e abilità tecnicamente necessarie al Responsabile della protezione dei dati
Grafico della diffusione della figura del Responsabile della protezione dei dati in Europa sulla base dei dati del CNIL del 2012
Esempio di organigramma di un gruppo di imprese per la gestione dei dati personali secondo le previsioni dell'art.37 del regolamento europeo

Il responsabile della protezione dei dati (abbreviato in RPD o DPO dall'inglese data protection officer) è una figura professionale esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento dei dati personali, e dunque la loro protezione, all'interno di enti come un'impresa, un ente o di un'associazione, affinché questi siano trattati in modo lecito e pertinente.

Storia

Anche se la sua diffusione si è verificata maggiormente negli Stati Uniti e nei paesi anglosassoni, la prima comparsa di questo responsabile negli ordinamenti giuridici è stata in Europa, nella legislazione della Germania nel 1970 (Datenschutzbeauftragter).

La sua figura fu poi istituita per la prima volta negli Usa nell'agosto 1999 dalla società AllAdvantage, specializzata in servizi pubblicitari attraverso Internet. La figura fu creata per rispondere alla preoccupazione dei consumatori sull'utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema.

Nel maggio del 2013 l'amministrazione del presidente Barack Obama ha conferito all'avvocato statunitense Nicole Wong l'incarico di affiancare il Chief Technology Officer della Casa Bianca statunitense in materia di privacy e data protection. L'avvocato Wong, precedentemente direttrice dell'ufficio legale di Twitter e impiegata negli uffici legali di Google, ha lasciato l'incarico nell'agosto dell'anno seguente.

Descrizione

Competenze

Il responsabile della protezione dei dati deve conoscere la normativa sulla gestione dei dati personali nel paese in cui opera (Legge sulla privacy).

Deve poter offrire la consulenza per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, interagendo coi sistemi di gestione aziendali, per curare l'adozione di misure di sicurezza finalizzate alla tutela dei dati, che soddisfino i requisiti di legge e per evitare i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

In ragione del fatto che l'acquisizione e la gestione dei dati personali avviene in modo preponderante per mezzo digitale, il responsabile della protezione dei dati deve possedere, oltre che competenze legali, anche competenze di carattere informatico.

Compiti

Secondo il testo del regolamento europeo sulla protezione dei dati personali, quando una persona viene designata come "responsabile della protezione dei dati", il titolare del trattamento dei dati (l'azienda o l'ente) deve assicurarsi che sia prontamente coinvolto, che adempia alle funzioni in piena indipendenza allo scopo di non creare un conflitto di interesse nello svolgimento del suo compito di vigilanza sull'attuazione e l'applicazione della normativa. Il responsabile della protezione dei dati riferisce direttamente alla dirigenza e risponde gerarchicamente a essa. Il titolare e il responsabile del trattamento sostengono il responsabile della protezione dei dati nel suo ruolo per l'esecuzione dei suoi compiti, fornendogli tutte le risorse necessarie, quali risorse finanziarie, personale, locali, attrezzature e tutto l'occorrente per adempiere alle sue funzioni.. A seconda dell'organigramma stabilito dall'azienda o dall'ente, uno o più responsabili della protezione dei dati possono operare anche in gruppo, specialmente nei casi di grandi aziende e multinazionali, nelle quali può essere necessario ricorrere a più soggetti.

Ai sensi dell'art. 39 del regolamento europeo sulla protezione dei dati, il responsabile della protezione dei dati:

a. deve essere adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;

b. deve essere sostenuto dal titolare del trattamento e dal responsabile nell'esecuzione dei compiti assegnati;

c. deve avere le risorse necessarie per adempiere ai compiti assegnati;

d. deve poter accedere ai dati personali e ai trattamenti che riguardano la struttura in cui è inserito;

e. deve mantenere la sua conoscenza specialistica (corsi di aggiornamento);

f. deve essere indipendente nell'esercizio delle sue funzioni;

g. non deve essere penalizzato o rimosso per l'adempimento dei propri compiti;

h. è tenuto al segreto e alla riservatezza in merito all'adempimento dei propri compiti;

i. non può svolgere altre funzioni o compiti che determino un conflitto di interessi.

L'articolo 39 del regolamento europeo sulla protezione dei dati personali, elenca i compiti del responsabile della protezione dei dati, che sono almeno i seguenti:

a. informare e consigliare il titolare del trattamento o il Responsabile nonché i dipendenti;

b. sorvegliare l'osservanza del Regolamento e delle altre leggi vigenti nell'Unione Europea in materia nonché delle policy;

c. fornire se richiesto un parere sulla valutazione di impatto sulla protezione dei dati personali e sorvegliare lo svolgimento;

d. fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento di dati personali.

Nel mondo

Quando nei paesi anglosassoni questo responsabile opera a livello senior con autonomia decisionale, è definito chief privacy officer, mentre nell'Unione europea la denominazione inglese analoga del ruolo con funzioni dirigenziali è data protection officer ("responsabile della protezione dei dati", nella versione italiana del Regolamento europeo in materia di trattamento dei dati personali, ovvero il Codice in materia di protezione dei dati personali).

Per quanto riguarda le retribuzioni di queste figure professionali, nel 2019 una ricerca della IAPP ha rilevato che un data protection officer negli Stati Uniti percepiva 140.000 dollari annui contro gli 88.000 dollari nell’UE. Invece, lo stipendio annuo di un chief privacy officer negli Stati Uniti era di 212.000 dollari, mentre nel Regno Unito il salario medio era di 185.000 dollari, e nel resto dei paesi dell'UE era pari a 142.000 dollari..

Unione europea

Lo stesso argomento in dettaglio: Regolamento generale sulla protezione dei dati.

Ai sensi dell'art. 37 del Regolamento Europeo il responsabile della protezione dei dati (Data Protection Officer) deve essere designato quando:

a. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, escluse le autorità giurisdizionali;

b. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

In data 13 dicembre 2016 il Gruppo di Lavoro Articolo 29 (working party che riunisce i rappresentanti dei Garanti Privacy europei) ha pubblicato le "Guidelines on Data Protection Officers" (Linee guida sul responsabile della protezione dei dati). Questo documento fornisce indicazioni utili a chiarire alcuni dubbi interpretativi relativi al disposto dell'articolo 37, come quelli relativi ai concetti di "attività principale" e "larga scala".

È necessario definire un Responsabile della protezione dei dati se la propria organizzazione raccoglie, elabora o memorizza quantità non irrilevanti di dati personali di cittadini dell’UE (per dipendenti, individui al di fuori dell’organizzazione o entrambi). Un Responsabile della protezione dei dati è inoltre sempre necessario per le organizzazioni e autorità pubbliche.

Italia

Lo stesso argomento in dettaglio: Responsabile del trattamento dei dati.

Il 4 giugno 2015, all'interno delle Linee guida in materia di Dossier sanitario, il Garante per la Protezione dei dati personali italiano ha precisato che "in ragione della particolare delicatezza delle informazioni trattate mediante il dossier sanitario, il Garante auspica che i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (cosiddetto DPO - data protection officer), anche in relazione ai casi di data breach".

A tal fine, a marzo 2016 il Garante per la privacy ha reso disponibile, sul proprio sito web, una scheda informativa che presenta la figura del Responsabile della protezione dei dati personali (Data Protection Officer). A seguito dell'entrata in vigore (25 maggio 2016) del regolamento europeo, che è entrato in vigore a partire dal 25 maggio 2018 (articolo 99), la figura del responsabile della protezione dei dati (data protection officer) diventa obbligatoria anche per i titolari del trattamento aventi stabilimento principale in Italia che presentano i requisiti dettati dall'articolo 37 del regolamento stesso.

Poiché la professione del responsabile della protezione dei dati non è regolamentata, non è obbligatoriamente soggetta a esami, certificazioni, né all'iscrizione ad albi professionali. Si rientra quindi nell'ambito di applicazione della Legge 4/2013 sulle professioni non organizzate in ordini e collegi.

In Italia, sono presenti percorsi di formazione (patrocinati dal Garante per la protezione dei dati personali) strutturati solitamente in un anno accademico nelle Università, le quali assicurano una formazione precisa e specialistica in materia di Protezione dei dati, Normativa della Privacy e Tutela dei Minori, Cybersecurity. Il percorso prevede un minimo di 80 ore al termine del quale, previo superamento di un esame finale, si ottiene il titolo professionale e inoltre il riconoscimento della formazione in crediti universitari (CFU).

Oltre ai percorsi accademici, troviamo altre associazioni che rappresentano i responsabili della protezione dei dati (data protection officer) iscritte nell'elenco delle associazioni di natura privatistica che rilasciano l'attestato di qualità del Ministero dello Sviluppo Economico: Federprivacy, ASSO DPO e Uniquality.

è stato inoltre introdotto nell'A.A 2020/2021 all'Università di Padova un percorso di laurea triennale chiamato "Diritto e Tecnologia" che forma gli studenti per questa specifica figura professionale, integrando il diritto con l'informatica.

Note


Voci correlate

Collegamenti esterni

Controllo di autoritàThesaurus BNCF 65847 · BNF (FRcb17706313z (data)
  1. ^ Il Privacy Officer, figura chiave della data protection europea, Ipsoa, 2013
  2. ^ Il Sole 24 Ore, 8 maggio 2013 "Da Google alla Casa Bianca, Obama nomina una Privacy Officer"
  3. ^ Pionero, 20 marzo 2014 "Protezione dati: la privacy è vista come una burocrazia da aziende e PA", su pionero.it. URL consultato il 18 marzo 2015 (archiviato dall'url originale il 2 aprile 2015).
  4. ^ PrivacyLab, 7 agosto 2020 "Cosa fa il Data Protection Officer (DPO)?"
  5. ^ Diritto 24, Il Sole 24 Ore, 13 gennaio 2015
  6. ^ a b c Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC
  7. ^ Articolo 39 del Regolamento Generale sulla Protezione dei Dati Personali
  8. ^ Forbes, 16 agosto 2019 "Privacy e Gdpr, chi guadagna da un’industria che vale miliardi di dollari", su forbes.it.
  9. ^ Privacy Officer: designazione obbligatoria e volontaria, su privacyofficer.pro.
  10. ^ WP 29: Linee guida sul responsabile della protezione dei dati, su privacyofficer.pro.
  11. ^ Privacy Officer: pubblica autorità, larga scala, attività principale, su privacyofficer.pro.
  12. ^ Hai bisogno di un Responsabile della protezione dei dati (RPD o DPO)?, in Data Protection Law | Privacy e protezione dati personali, 7 febbraio 2018. URL consultato il 19 marzo 2018.
  13. ^ Linee guida in materia di Dossier sanitario - 4 giugno 2015 - Garante Privacy, su garanteprivacy.it. URL consultato il 28 luglio 2016.
  14. ^ Copia archiviata (PDF), su laborproject.it. URL consultato il 28 luglio 2016 (archiviato dall'url originale il 7 maggio 2016).
  15. ^ Copia archiviata (PDF), su omceovr.it. URL consultato il 28 luglio 2016 (archiviato dall'url originale il 18 agosto 2016).
  16. ^ Copia archiviata, su dataguidance.com. URL consultato il 28 luglio 2016 (archiviato dall'url originale il 22 agosto 2016).
  17. ^ Privacy, i Data Protection Officer a congresso | e-Sanit@, su esanitanews.it. URL consultato il 28 luglio 2016 (archiviato dall'url originale il 7 agosto 2016).
  18. ^ Legge 14 gennaio 2013 n.4 - Riforma delle professioni non organizzate in ordini o collegi
  19. ^ Professioni non regolamentate: nuove possibilità per Record Document Manager e Privacy officer Archiviato il 23 maggio 2014 in Internet Archive.
  20. ^ FEDERPRIVACY: http://www.sviluppoeconomico.gov.it/images/stories/documenti/Federprivacy_Allegato_2%20modificato.pdf Archiviato il 4 marzo 2016 in Internet Archive. ASSO DPO: http://www.sviluppoeconomico.gov.it/images/stories/documenti/Allegato2_ASSO%20DPO_040216.pdf Archiviato il 26 marzo 2016 in Internet Archive. UNIQUALITY: http://www.sviluppoeconomico.gov.it/images/stories/documenti/Allegato2ssoc-3_2014_UNIQUALITY Archiviato il 18 agosto 2016 in Internet Archive.
Enciclo
Wikious
Sapientia
Scientia
Boobota
Anandapedia
Sagapedia
Wikithot