mercoledì 25 gennaio 2012

In arrivo la figura del data protection officer


L’Unione Europea ha varato e presentato di recente due importanti provvedimenti in materia di protezione dei dati personali.
Il primo provvedimento è una direttiva, e riguarda la protezione dei dati dei cittadini per provvedimenti giudiziari, misure di sicurezza e polizia, in particolare prevede obblighi di comunicazione del trattamento dei dati a tutela di chi è stato oggetto di attenzioni da parte delle autorità.
Il secondo provvedimento è un regolamento e riguarda tutti gli altri casi, in particolare Internet.
Si tratta di una semplificazione, resasi ormai necessaria a seguito di tanti provvedimenti e tante novità sul fronte tecnologico, che renderà uniforme la normativa di tutti i paesi europei e dovrebbe comportare risparmi di oltre due miliardi di euro l'anno.
Le novità principali di questo regolamento sono: 1) non toccherà più al cittadino dimostrare illiceità dell'uso dei propri dati ma al titolare dei dati dimostrare la liceità; 2) il consenso all'utilizzo dei propri dati dovrà essere esplicito; 3) l'eventuale perdita dei dati per un attacco informatico dovrà essere comunicato subito; 4) la pubblica amministrazione e le imprese con più di 250 dipendenti dovranno dotarsi di un "data protection officer"; 5) se viene fatto un uso illecito dei dati di qualcuno, il responsabile ne risponderà comunque; 6) ogni nuovo strumento tecnologico ma anche semplice applicazione dovrà valutare l'impatto che il suo utilizzo avrà sulla privacy (Pia, privacy impact assessment); 7) dovrà essere possibile avere la "data portability": ovvero così come possiamo portarci dietro il numero di telefono cambiando gestore, dobbiamo poterci portare gli amici di Facebook su un altro social network.
Salta subito all’occhio, quindi, la previsione di una nuova figura soggettiva nel mondo della protezione dei dati personali e cioè il “data protection officer” che ricalca grosso modo quanto già fatto da molte banche europee che particolarmente sensibili alla problematica hanno creato dei veri e propri “uffici privacy”. Nasce così una nuova professione che non può essere improvvisata, ma richiede doti di competenza ed esperienza notevoli. Sappiamo bene che molti enti pubblici ed anche importanti aziende non dedicano molta attenzione alla protezione dei dati personali e questa criticità ovviamente è ben nota al legislatore europeo il quale, per risolvere il problema, ha deciso di istituire una figura specifica obbligatoria che dovrà essere immediatamente recepita dagli stati membri.
Sarà interessante vedere come l’Italia concilierà questa nuova normativa sicuramente più attenta e garantista con l’attuale orientamento di demolizione degli adempimenti privacy che ha contraddistinto gli ultimi governi compreso quello attuale e che prevede anche la prossima eliminazione del DPS.