Il 4 maggio 2016 sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini, che sarà direttamente applicabile in tutti gli Stati dell'Unione europea a partire dal 25 maggio 2018.
Tali strumenti normativi sono entrati ufficialmente in vigore il 24 maggio 2016, con lo scopo di garantire un quadro coerente ed un sistema complessivamente armonizzato in materia nell'Ue, necessario a fronte della rapidità dell'evoluzione tecnologica e della globalizzazione, che comportano nuove sfide per la protezione dei dati personali, la cui condivisione e raccolta è aumentata in modo significativo e richiede un quadro più solido e coerente in materia ed efficaci misure di attuazione.
Il Regolamento Europeo Privacy ha introdotto nuove tutele a favore degli interessati e, di conseguenza, nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali, tra i quali le aziende.
Tra le molteplici novità previste dallo stesso, nella sez. IV, art. 37-39, è stata introdotta la figura professionale del Data Protection Officer (DPO), obbligatoria per le imprese con oltre 250 dipendenti e per tutti gli enti pubblici. Tale profilo professionale, sebbene inedito nel panorama nostrano, risulta essere storicamente già presente in alcune legislazioni europee.
Il DPO è un professionista che ricopre un ruolo aziendale con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Sarà, inoltre, una figura autonoma, che esegue le proprie funzioni in completa indipendenza, e riferirà sul suo operato direttamente ai vertici aziendali, i quali, per la piena esecuzione dei suoi compiti, dovranno fornire le risorse necessarie.
Il Regolamento prevede che il soggetto che rivestirà tale ruolo possa essere sia un dipendente dell’azienda che un consulente esterno. Sul punto, occorre precisare come lo stesso debba, in ogni caso, essere indipendente ed esercitare le proprie funzioni senza che sia generato un conflitto di interesse. Pertanto, nonostante il DPO possa svolgere anche altre mansioni, queste non dovranno essere incompatibili o comunque contrastare con la funzione di Data Protection Officer. Risulta dunque difficile conciliare le predette necessità all’interno di un contesto aziendale, atteso che la funzione in oggetto, se affidata a personale dipendente, determinerebbe facilmente una sorta di auto-monitoraggio, in contrasto con i principi sopra esposti.
Il Garante Privacy tedesco, chiamato a pronunciarsi sull’incompatibilità del ruolo esaminato posto in capo all’IT manager di una società, ha riconosciuto la sussistenza di un conflitto di interesse, atteso che quest’ultimo avrebbe dovuto controllare se stesso, verificando se le proprie attività erano conformi alla normativa in materia di protezione di dati personali.
A ciò si aggiunga che il 13.12.2016 l’ ”Article 29 Data Protection Working Party” ha adottato alcune linee guide sul tema, le quali hanno ribadito che, seppure sia permesso al Data Protection Officer di svolgere contemporaneamente altre funzioni, deve essere garantito che "tali compiti e doveri non diano luogo ad un conflitto di interessi", portando dunque, a ritenere preferibile l’affidamento di tale ruolo ad un consulente esterno.
Il nostro Gruppo ha avviato la formazione di personale necessaria all’acquisizione dei requisiti e delle competenze utili alla “certificazione” DPO.
Da diversi anni nell’ambito dell'assessment di security svolto per i nostri Clienti, valutiamo anche gli aspetti privacy che impattano nelle dinamiche di controllo accessi e nella gestione dei dati personali che riguardano la videosorveglianza negli ambienti di lavoro e gli strumenti aziendali.
Contattateci per una valutazione preliminare gratuita: numero verde per ricevere immediatamente un preventivo ed una consulenza riservata e gratuita, oppure, utilizzate il modulo presente sulla pagina per inviarci una richiesta.
Un sito non basta a risolvere ogni dubbio e soprattutto a far fronte a tutte le necessità. Utilizza il form qui a lato o la CHAT per contattarci, prenotare un appuntamento e chiederci informazioni.