Data Protection Officer DPO GDPR 679 2016 Privacy UE – Terzietà, autonomia decisionale ed indipendenza, a garanzia dei dati degli interessati

 

I compiti e le responsabilità del DPO non possono dipendere unicamente dalle logiche di mercato.

Come ampiamente chiarito anche dal Garante, le attuali proposte formative volte ad aggiornare e implementare le qualità e le competenze professionali di questa nuova figura come il rilascio dei cosiddetti “bollini di qualità” (spesso di dubbio valore) non hanno ancora un formale riconoscimento

Regolamento Ue e certificazione in materia di dati personali

Guida all’applicazione del Regolamento UE 2016 679.pdf

Il ruolo del DPO è troppo delicato per essere svilito attraverso un’opera di mercificazione (anche delle certificazioni) che ha accompagnato tanti ruoli/modelli di sicurezza ICT.

È il caso di ricordare che la protezione dei dati personali è un diritto fondamentale, che converge nella tutela dell’identità personale, imprescindibile in questa nostra società dell’informazione, tanto più libera, quanto più vulnerabile.

Anche quando non risulti obbligatoria, la nomina di un Responsabile della Protezione dei Dati (Data Protection Officer) è caldamente e particolarmente raccomandata per tutti i casi in cui le attività di trattamento costituiscano probabili violazioni e/o fonti di rischio per i diritti e le libertà delle persone fisiche, in base a valutazioni affidate, nei singoli casi, ai Titolari del Trattamento ( di solito il proprietario dell’azienda) e ai Responsabili del Trattamento ( di solito l’incaricato esterno al trattamento dei dati, tipo il cloud) in attuazione del fondamentale principio obbligatorio di ACCOUNTABILITY (RENDICONTAZIONE). È evidente, dunque, che al Data Protection Officer non può e non deve spettare una funzione di tutela degli interessi del Titolare e del Responsabile, ma un “ruolo di garanzia e terzietà” esclusivamente dedicato alla protezione dei dati personali degli utenti o clienti.

 Il requisito dell’autonomia e indipendenza del DPO nell’esercizio delle sue funzioni.

Inquadrare il DPO in un rapporto di dipendenza ( tipo rapporto subordinato di lavoro) con il Titolare (o con il Responsabile) del Trattamento porta ad evidenti casi di asimmetria di poteri e di conflitto di interesse formale e sostanziale, nonostante l’espressa previsione normativa voluta dal legislatore per coprire la futura necessità richiesta dalla situazione.

L’autonomia decisionale e l’estraneità rispetto alla determinazione delle finalità e delle modalità del trattamento sono mezzi di fondamentale importanza per restituire agli Interessati quella sovranità sulla circolazione dei propri dati, spesso usurpata per effetto di disattenzione, nei confronti delle regole di liceità del trattamento.

Il Legislatore ha inteso rispondere all’esigenza di respiro intraeuropeo di assicurare un presidio sui dati rigoroso e uniforme in tutti gli Stati dell’Unione, evitando la parcellizzazione di competenze e la sperequazione dei diritti, prevedendo così, in via obbligatoria, la presenza in Azienda od Ente di una figura che supporto ed informi il Titolare, il Responsabile e i dipendenti  che svolgono attività di trattamento sugli obblighi derivanti dal Regolamento GDPR, sorvegliandone e supervisionando la corretta applicazione, fornendo pareri e vigilando sullo svolgimento della valutazione di impatto PIA Privacy Impact Assessment(art. 35), fungendo da referente e punto di contatto per l’Autorità di Controllo (Garante Privacy).

Pur non prevedendo formalmente la figura del DPO, il Codice in materia di protezione dei dati personali italiano (Codice Privacy) concede al Titolare la facoltà di “preporre” al trattamento di dati personali (art. 4, comma 1, lett. g) uno o più Responsabili, dotati dell’esperienza, della capacità e dell’affidabilità necessaria a garantire la piena osservanza delle regole in materia di trattamento, compreso il profilo relativo alla sicurezza (art. 29, comma 2) acquisendo così questa figura, nella prassi applicativa del Codice, un margine di autonomia e una caratterizzazione funzionale molto simile a quelle riconosciute al DPO, ma non uguale.

Il Legislatore europeo, nel regolare la figura del DPO (agli artt. 37-39 del GDPR), ha mutuato quindi molti aspetti del Responsabile del trattamento italiano, ma in primis lo ha legato unicamente al dettato legislativo del GDPR, e non alle direttive o desideri impartiti dal titolare del trattamento.

Va anche precisato, però, che Il Data Protection Officer ha ben altro ruolo rispetto al “semplice” Responsabile del trattamento, tale da consentire di qualificarlo come un “manager del cambiamento digitale”, che dovrà necessariamente essere in possesso di una preparazione specialistica multidisciplinare in ambito tecnico informatico SGSI e giuridico ( non necessariamente legale), esperienza non affidata a improvvisate trovate di certificazione (spesso a caro prezzo) con accattivanti promesse di immediata spendibilità nel “mercato della Privacy GDPR”, ma  certificazioni supportata da un percorso ponderato ed acquisito sulle competenze pregresse, giuridicamente rigoroso ed eticamente adeguato nel campo di una ICT (Information Technology) consapevole.

O.L.I.T. Informatica

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Annunci