Tutela dei dati personali in azienda: arriva Data Protection Officer
La figura professionale del responsabile aziendale per il trattamento dei dati personali esiste già in 15 nazioni europee. In Italia dovrebbe essere introdotta con l’anno nuovo, a seguito dell’emanazione del nuovo regolamento europeo sulla privacy. Quale sarà l’impatto sulle aziende?
Quello legato alla privacy è un concetto che fin dalla sua prima ed originaria formulazione, è stato sottovalutato o quanto meno mal recepito dagli italiani. E’ evidente che il principio del “right to be left alone”, di matrice anglosassone, che pure in epoca più recente ha lasciato il posto ad un rinnovato diritto individuale di esercitare un controllo attivo sulla circolazione delle proprie informazioni personali, stenta ad essere tenuto in considerazione nel nostro Paese. Nonostante la normativa di settore esista ormai da anni, fin dalla sua introduzione ad opera della Legge n. 675/1996, poi sostituita dal D.Lgs. 196/2003 (il c.d. Codice della Privacy), la percezione del bisogno di attenzione da parte degli operatori non sembra ancora essere sufficiente: i titolari del trattamento, siano essi privati piuttosto che imprese, non comprendono o non attribuiscono la giusta importanza alle disposizioni sulla protezione dei dati personali dei loro utenti.
Eppure, le sanzioni attualmente previste vanno dai 6.000 a 36.000 euro e, tenendo conto di alcune circostanze aggravanti, esse potrebbero venire raddoppiate o addirittura quadruplicate. Nell’arco di un solo mese, è stato di 24 milioni di euro l’ammontare delle violazioni scoperte da Federprivacy, l’organismo associativo di categoria, sui siti web italiani esposti a rischio di potenziali sanzioni, comminabili dal Garante a seguito dei controlli effettuati dal Nucleo Privacy della Guardia di Finanza. E, se non ciò bastasse, dall’Europa potrebbe giungere una nuova e preoccupante riforma: il prossimo Regolamento Europeo, che secondo quanto anticipato dal Commissario Juker potrebbe arrivare entro febbraio 2015, vorrebbe innalzare, difatti, le sanzioni fino a 100 milioni di euro o, quantomeno, in misura del 5% del fatturato dell’impresa sanzionata.
L’inasprimento delle sanzioni, tuttavia, non è l’unica misura annunciata per ricondurre a ragione gli enti che sembrano disinteressarsi dell’importanza del corretto trattamento dei dati ad essi affidati: la bozza del Regolamento Europeo, ad oggi ancora in discussione, prevede infatti anche l’introduzione ufficiale di una nuova figura professionale, il Data Protection Officer (DPO). L’introduzione coatta di un esperto altamente qualificato, quindi, quale ulteriore strumento di garanzia nella gestione della Privacy all’interno dell’azienda. Negli ultimi mesi se ne è sentito molto parlare, ma di cosa si tratta, realmente?
Il Data Protection Officer o, per geo-contestualizzare, il Responsabile della Protezione dei Dati, è, dunque, la nuova figura professionale che probabilmente si inserirà nel panorama, già nutrito, dei consulenti aziendali, sempre più proiettati ad una totale compliance in materia di sicurezza nelle aziende. In base al dettato dell’art. 35 del testo attualmente in discussione, sarà obbligatoria per tutte le pubbliche amministrazioni, nonché per migliaia di altre imprese che possiedono determinati requisiti. Tra di essi, il dare impiego ad almeno 250 dipendenti o, ancora, occuparsi di attività che prevedono “un controllo regolare e sistematico degli interessati”, il cui numero superi, su base annua, le cinquemila unità.
Nata ufficialmente negli Stati uniti nel 1999 e già regolamentata per legge in 15 dei 28 Paesi dell’Unione, come già anticipato, questa figura professionale diventerà obbligatoria a livello europeo con l’entrata in vigore del Regolamento Unico sulla protezione dei dati personali, che andrà a sostituire la direttiva 95/46/CE. Secondo l’esperienza dei Paesi che prevedono l’esistenza di simili funzionari, chiamati in alcuni casi anche Chief Privacy Officer, la laro qualifica dovrebbe essere quella di responsabili privacy che effettuano accertamenti del tipo “privacy impact assessment” e conducono per ogni progetto aziendale dettagliate analisi di risk assessment. Ma ciò non è tutto. La bozza di regolamento, infatti, prevede di più. Ai sensi dell’art. 37 della bozza del Nuovo Regolamento Europeo concernente la Protezione dei Dati Personal, il DPO, in collaborazione con il CDA o il CEO di un’azienda, dovrà infatti aggiornare le altre figure apicali circa gli adempimenti obbligatori, sorvegliarne l’attuazione, occuparsi della formazione inhouse, controllare che eventuali violazioni della normativa siano documentate e notificate al Garante (secondo il disposto dei nuovi articoli 31 e 32 del Regolamento), accertarsi che l’azienda dia seguito alle richieste dell’autorità di controllo, fungere infine da punto di contatto durante ogni occasione di dialogo con la pubblica amministrazione. Un compito carico di responsabilità, quindi, che tuttavia risulta necessario per ravvivare l’attenzione sul tema.
Sebbene si tratti di una figura professionale non ancora prevista dalla legge italiana, essa è già una realtà presente in diversi contesti, al punto che la stessa Autorità Garante nella propria Relazione annuale presentata nel 2012 ne ha sottolineato l’importanza affermando che: un ruolo positivo è sicuramente giocato dalle figure di responsabili privacy, oramai piuttosto diffuse, che, coordinando e indirizzando l’azione degli uffici periferici, assicurano una più puntuale e attenta applicazione della legge. In una qualche misura, dall’ esperienza di queste nuove figure professionali viene quasi anticipata la funzione del privacy officer, ben conosciuta in altri ordinamenti e recentemente inserita nelle bozze del nuovo regolamento comunitario in materia di protezione dei dati personali. (Relazione 2012, cit. pag. 227). Nel nostro Paese, anche se il legislatore non è ancora intervenuto per introdurre precise regole in merito, grazie al benestare del Ministero dello Sviluppo Economico e tenuto conto della Legge 4/2003, l’associazione Federprivacy ha implementato già dal 2012 un percorso formativo per i professionisti, volto ad ottenere la certificazione di questa figura tramite l’ente tedesco TÜV Examination Institute, che rilascia un riconoscimento basato sulla Norma ISO/IEC 17024:2004, riconosciuta a livello internazionale. Non potendo prevenire la norma comunitaria, tuttavia, si è scelto di limitarsi a definirlo con la qualifica, dissimile ma sostanzialmente identica, di Privacy Officer.
Quello del Data Protection Officer, del resto, è un profilo non ancora disciplinato all’interno dell’ordinamento italiano e che, per poter essere completo, dovrà racchiudere caratteristiche di per sé diverse tra loro: competenze giuridiche, profonde competenze informatiche e spiccate doti umane di leadership e comunicazione. Sotto certi aspetti, le conoscenze richieste lo accomunano tipicamente ad un avvocato, ma tale requisito potrebbe anche non essere essenziale. Sicuramente sarà un professionista multidisciplinare, che possieda profonde competenze informatiche e di processo. Solo il tempo soddisferà la nostra curiosità. Certo è che le conseguenze dell’imposizione di questa nuova figura professionale non potranno che apportare benefici in vista di un migliore trattamento dei dati personali degli utenti da parte delle aziende.
