sabato 16 febbraio 2013

Data protection officer: novità in arrivo

Alla luce dei recenti emendamenti proposti allo schema di regolamento europeo e del Consiglio in materia di trattamento di dati personali, sta assumendo sempre maggiore rilevanza la figura del responsabile della protezione dei dati (data protection officer) in quanto si è proposto di prevedere la sua nomina (al di fuori dei casi in cui ci si trova di fronte ad un ente pubblico) non più quando il trattamento è effettuato da un’impresa con 250 o più dipendenti, ma quando il trattamento dei dati è effettuato da una persona giuridica e riguarda oltre 500 interessati l'anno, in quanto nell'epoca del "cloud computing", in cui persino responsabili del trattamento molto piccoli possono sottoporre a trattamento grosse quantità di dati mediante servizi on line, il livello minimo per la nomina obbligatoria di un responsabile della protezione dei dati non deve basarsi sulle dimensioni dell'impresa, ma piuttosto sulla pertinenza del trattamento dei dati. Ciò include le categorie di dati personali oggetto di trattamento, il tipo di attività di trattamento e il numero di individui i cui dati sono oggetto di trattamento. 
Naturalmente questo emendamento se approvato determinerebbe una diffusione esponenziale di questa figura professionale poiché oggi anche piccole società raggiungono i limiti previsti da questa proposta. 
Altra modifica importante riguarda la durata in carica del responsabile della protezione dei dati che viene proposta ad almeno 4 anni. Difatti il precedente periodo minimo di due anni viene considerato troppo breve. 
Secondo il relatore l'esperienza dimostra che anche in presenza di conoscenze e capacità pregresse, un responsabile della protezione dei dati di nuova nomina ha bisogno di almeno sei mesi per crescere nell'attività che ha imparato a svolgere. Se fosse sostituito senza giusto motivo dopo soli due anni, si complicherebbe l'attuazione dei requisiti di protezione dei dati dell'azienda. Inoltre affinché il responsabile della protezione dei dati possa svolgere la propria attività in modo indipendente, occorre prevedere anche una minima protezione dal licenziamento.