Il PRIVACY OFFICER

Il Privacy Officer (in inglese, “agente della privacy”) è un ruolo aziendale con competenze giuridiche e informatiche la cui responsabilità principale è osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattatati in modo lecito e pertinente, nel rispetto delle normative vigenti.

Quando il soggetto che ricopre questo ruolo opera con autonomia e gli è conferito potere decisionale nello svolgimento delle proprie mansioni, si parla di chief privacy officer (CPO), figura che in Europa ha assunto anche la denominazione di data protection officer (DPO),o responsabile della protezione dei dati come reso nella traduzione italiana della proposta di Regolamento Europeo che dovrebbe essere pubblicato entro la metà del 2014.

La Commissione Europea in data 25 gennaio 2012 ha approvato un regolamento unico sulla protezione dei dati personali, che andrà a sostituire la direttiva 95/46/CE e sarà vigente contemporaneamente in ventisette stati membri UE, obbligando le imprese con più di 250 addetti e tutti gli enti pubblici a nominare un data protection officer. Infatti, circa la designazione del privacy officer, l’art. 35 della proposta di Regolamento Europeo, prevede che questo debba essere nominato, con contratto o assunzione rinnovabile per un periodo della durata almeno due anni, in modo sistematico quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, o se il trattamento è effettuato da un’impresa con 250 o più dipendenti, oppure se le attività principali dell’impresa consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati.

Secondo l’art. 37 della proposta di Regolamento Europeo i compiti fondamentali del Privacy Officer si sostanziano nei seguenti:
1. informare e consigliare il responsabile del trattamento o l’incaricato del trattamento in merito agli obblighi derivanti dal citato regolamento e conservare la documentazione relativa a tale attività e alle risposte ricevute;
2. sorvegliare l’attuazione e l’applicazione delle politiche del responsabile del trattamento o dell’incaricato del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi;
3. sorvegliare l’attuazione e l’applicazione del citato regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal citato regolamento;
4. controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 31 e 32 del regolamento;
5. controllare che il responsabile del trattamento o l’incaricato del trattamento effettui la valutazione d’impatto sulla protezione dei dati;
6. controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;
7. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa.

La figura del Privacy Officer non è disciplinata all’interno dell’ordinamento italiano. Il Consulente della Privacy risulta quindi essere un libero professionista, senza formale necessità di sostenere appositi esami o iscrizioni ad albi professionali, e può rapportarsi all’azienda in questa sua veste, oppure assumendo il ruolo di dipendente/collaboratore all’interno della stessa.
Federprivacy, quale associazione di categoria dei professionisti della privacy, sta comunque procedendo alla formazione di queste figure professionali. Da circa due anni ha realizzato insieme a Tüv Italia una specifica certificazione per il Privacy Officer, che ha come base la normativa ISO/IEC 17024:2004 (certificazione delle specifiche competenze delle persone fisiche, aggiornata nella ISO/IEC 17024:2012).

Link per approfondimenti:

www.medialaws.eu

www.assodigitale.it

www.corrierecomunicazioni.it

www.federprivacy.it

www.privacyofficer.it