Data Protection

DigiLawyer. Data Protection Officer figura strategica per le imprese

di Gianluca Pomante, Avvocato Cassazionista – esperto d’informatica e comunicazione |

Anche se le sanzioni del Nuovo Regolamento Ue entreranno in vigore solo nel 2018, è opportuno fin da subito dotarsi di tale figura professionale.

La rubrica DigiLawyer, ovvero riflessioni sul “diritto e il rovescio” di Internet fra nuove potenzialità e storture della rete, a cura di Gianluca Pomante, Avvocato Cassazionista esperto di informatica e comunicazione. Per consultare gli articoli precedenti clicca qui.

Il nuovo “Regolamento europeo per la protezione e libera circolazione dei dati personali” introduce la figura del Data Protection Officer per tutte le imprese pubbliche e per quelle private che svolgono trattamenti potenzialmente in grado – per la natura dei dati o per l’entità del trattamento – di ledere gravemente i diritti degli interessati ed hanno, pertanto, la necessità di essere monitorati da un soggetto che sia indipendente rispetto alle logiche aziendali.

Dovrebbe essere un professionista esterno o, quantomeno, un elemento apicale di staff, dotato delle necessarie competenze giuridiche, per poter interpretare correttamente le norme da applicare, ed anche informatiche, per potersi rapportare adeguatamente con i responsabili dei sistemi informativi. Nel contempo, dovrebbe essere in grado di realizzare una completa analisi dei rischi connessi al trattamento, di valutare le interazioni con le altre discipline che riguardano, anche indirettamente, la sicurezza e la gestione dei dati (come, ad esempio, la L. 231/01), ed avere una preparazione specifica sui sistemi di gestione, per poter seguire un percorso standard che sia successivamente possibile ripercorrere e rielaborare secondo schemi ben definiti, senza dover nuovamente procedere all’analisi dell’intero sistema.

Tra i compiti del Data Protection Officer (da non confondere con il Privacy Officer, che può essere un dipendente ed ha un ruolo meramente esecutivo) spiccano la sorveglianza sull’osservanza del regolamento e delle specifiche prescrizioni delle autorità nazionali e la cooperazione con l’autorità di controllo, da cui deriva la necessità di informare e consigliare il Titolare del trattamento ed i suoi aventi causa sulla eventuale non conformità delle soluzioni adottate e sulle possibili azioni di miglioramento.

Si delinea una figura molto simile a quella dell’auditor dei sistemi di gestione della qualità, che ha il compito di monitorare periodicamente, secondo schemi ben definiti, il trattamento dei dati operato all’interno dell’organizzazione sottoposta a controllo. Ed infatti è lo stesso regolamento che, in più punti, suggerisce il ricorso a procedure di valutazione e certificazione che siano ripetibili e quindi fungano da linee guida anche alle autorità preposte al controllo.

Sebbene le sanzioni del Nuovo Regolamento entrino in vigore solo nel 2018, dovendosi ragionevolmente procedere alla valutazione e trasformazione di interi processi e flussi aziendali, è opportuno fin da subito dotarsi di tale figura professionale, sia per consentire al personale di adattarsi al nuovo supervisore e viceversa, sia perché il periodo di vacatio concesso dal Regolamento non è una semplice dilazione temporale (che non avrebbe senso) ma un chiaro invito a non farsi trovare impreparati alla scadenza del 24 maggio 2018, dato che le nuove sanzioni sono decisamente pesanti.