Responsabile privacy, profilo a prova di dubbi

La nuova figura debutta il 25 maggio: ecco i chiarimenti del Garante per le imprese e i professionisti

lunedì 26 marzo 2018

Sole24ore 

Un elenco, semplificativo ma comunque chiarificatore, di quanti devono rispettare l’obbligo e di chi, invece, non è tenuto; la precisazione che, se individuato all’esterno dell’impresa, può trattarsi anche di una persona giuridica; l’indicazione che un gruppo aziendale può anche designare un unico soggetto, purché facilmente raggiungibile da ogni stabilimento.
Sono alcune delle risposte che il Garante della privacy ha fornito per aiutare i privati (imprenditori, liberi professionisti, fondazioni, società, banche, ma anche partiti , sindacati e Caf) a mettere meglio a fuoco il profilo del Dpo (data protection officer o responsabile della protezione dei dati), la nuova figura prevista dal regolamento europeo 2016/679 che diventerà operativo il prossimo 25 maggio.

Progettare la privacy 
Si tratta di un ruolo importante, perché funzionale al nuovo concetto di privacy disegnato dalle regole Ue, disposizioni che tra poco meno di due mesi varranno per tutti i Paesi dell’Unione senza le declinazioni nazionali conosciute fino a oggi. Un impianto che fa perno sul concetto di accountability, ovvero l’attenta valutazione di tutti i rischi privacy connessi a una particolare situazione e la predisposizione di adeguate misure di protezione. Interventi da tenere sempre aperti per poterli aggiornare sulla base degli eventuali cambiamenti nella struttura organizzativa o per adeguarli alle novità tecnologiche. Progettualità e flessibilità che i recenti fatti di Facebook dimostrano quanto mai necessaria per non doversi trovare a fronteggiare disastrose perdite di dati personali.
Ecco perché il Dpo deve possedere una conoscenza adeguata dei processi di gestione delle informazioni e deve agire in piena autonomia nel garantire il rispetto da parte della struttura in cui opera del regolamento europeo e del resto della normativa privacy. Altro compito è quello di fungere da cerniera tra il proprio datore di lavoro e il Garante della privacy. Non sono necessari - come il Garante aveva già avuto modo di chiarire - particolari titoli di studio o abilitazioni. Non c’è, in altri termini, un “bollino” che certifichi il profilo del Dpo.
Di certo, sarà una figura particolarmente richiesta da qui ai prossimi mesi. Si stima ne serviranno 40mila, tra quelli da impiegare nella pubblica amministrazione e gli altri necessari nel settore privato.

Cantiere aperto 
Se per il Dpo “pubblico” il Garante aveva già fornito alcune indicazioni, sempre attraverso le Faq, per imprese e professionisti, invece, i chiarimenti erano attesi. Dai diversi incontri che l’Autorità guidata da Antonello Soro ha fatto con le associazioni di categoria, infatti, sono giunte richieste di chiarimenti. Quelle pubblicate in pagina - e disponibili da oggi anche sul sito dell’Autorità: www.garanteprivacy.it - sono le prime risposte alle domande più frequenti arrivate da Confindustria piuttosto che da Confcommercio o Confartigianato, Abi, Assaeroporti, Assogestioni, Fca, Enel, Unicredit, Banca Intesa, Rai. Per citare alcune associazioni e imprese con le quali il Garante ha avuto contatti in questi ultimi mesi con l’obiettivo di rendere meno traumatico il passaggio dal vecchio al nuovo sistema privacy.
Si tratta di un primo passo. Il percorso di supporto e collaborazione, infatti, prosegue tanto nei confronti della Pa che dei privati. Altre indicazioni arriveranno nei prossimi mesi, soprattutto per rispondere agli assai probabili problemi applicativi che sorgeranno dopo il 25 maggio.
Intanto, il 24 maggio, il giorno precedente il d-day della privacy, il Garante ha organizzato al Palazzo dei congressi di Bologna un incontro con tutti i Dpo, pubblici e privati, per gli ultimi suggerimenti prima del “primo giorno di scuola”.