Privacy Officer

I professionisti della data protection
Sei qui: Home

Regolamento Europeo: qualcosa da rivedere sul Privacy Officer

Cresce l’attesa a seguito della presentazione alla Commissione Europea della Proposta di regolamento europeo sulla privacy avvenuta il 25 gennaio 2012, contenente le nuove regole sulla protezione dei dati che entreranno in vigore tra circa un anno, e il quadro generale che emerge è quello di una vera e propria rivoluzione, in linea con il cambiamento degli scenari che hanno fatto arrivare le nostre informazioni persino sulla nuvola. Eppure sulla designazione del Privacy Officer qualcosa non quadra proprio.

Se infatti l’ambizioso progetto del Regolamento Europeo sulla Privacy presenta novità storiche, a partire dal fatto stesso che esso sarà contemporaneamente vigente e direttamente applicabile in tutti e 27 stati membri UE, ma anche l’introduzione del diritto all’oblio e la portabilità dei dati, d’altra parte c’è qualcosa sulla nuova figura del Privacy Officer (o responsabile della protezione dei dati, o data protection officer) così com’è adesso non convince affatto.

All’articolo 35 della proposta di regolamento, che sta seguendo il suo inter per essere approvata dal parlamento europeo, si trova infatti la seguente prescrizione: “Il responsabile del trattamento e  l’incaricato del trattamento designano sistematicamente un responsabile della protezione dei dati quando: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, oppure b) il trattamento è effettuato da un’impresa con 250 o più dipendenti, oppure  c) le attività principali  del responsabile del trattamento o dell’incaricato del trattamento consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati.”

Se sotto il profilo socio economico, questo obbligo genererà migliaia di opportunità di lavoro, (basti  pensare che solo in Italia l’ultima fotografia Istat contava 3.500 imprese con oltre 250 dipendenti, e gli enti pubblici sono oltre 20.000), sotto il profilo politico e giuridico qualcosa non convince:  

a) la nomina del responsabile della protezione dei dati (Privacy Officer) è imposta indistintamente alle imprese con 250 o più dipendenti, ma il criterio adoperato non si rivela per niente coerente, in quanto ci sono aziende, (e in Italia lo sappiamo bene), con 400/500 o anche più dipendenti, la maggior parte dei quali svolgono però  un lavoro manuale o agricolo, mentre una parte del tutto minima lavora effettivamente in ufficio e gestisce i dati personali. Sarebbe irragionevole usare come parametro per la nomina del Privacy Officer il numero dei dipendenti (operai) che magari trascorrono la loro giornata lavorativa nel campo a svolgere lavori che con i dati  non hanno niente a che fare. In Italia, abbiamo infatti fior di aziende del genere che producono vino, olio, latticini, etc.  mentre gli impiegati in ufficio che trattano i dati possono essere pochissimi, anche solo 3 o 4. Per non basarsi semplicisticamente sulle dimensioni dell’impresa, ma per produrre regole coerenti per la materia di cui si parla,  il parametro più ovvio che forse andrebbe utilizzato potrebbe invece essere basato sul numero totale degi incaricati del trattamento di un’azienda, ovvero quei dipendenti che per le loro mansioni devono trattare dati personali e ricevono per questo un incarico formale. Diversamente, si verificherebbero solo diffuse anomalie, dove imprese con 4 o 5 dipendenti che trattano dati sarebbero obbligate ad avere un Privacy Officer, e sull’estremo opposto imprese con un numero relativamente modesto di dipendenti, ad esempio 150, che sono tutti impegnati a trattare dati personali anche sensibili, (basti pensare a aziende che operano nel campo della ricerca, o  laboratori di analisi strutturati, etc), ma che sarebbero esonerate dall’obbligo di nomina. In questo caso potrebbe essere opportuno abbassare la soglia da 250 a 100 incaricati;

b) l’altro parametro che non convince, è proprio il criterio numerico non proporzionale attualmente individuato per l’obbigo di designare un Privacy Officer nelle imprese con 250 o più dipendenti:  significa questo che imprese come Poste Italiane, che contano oltre 140.000 dipendenti, o il Gruppo Ferrovie dello Stato con oltre 200.000 dipendenti dovranno nominare un solo responsabile della protezione dei dati (Privacy Officer), cosiccome le imprese di dimensioni simili a formiche in confronto con queste menzionate,  e che magari hanno 250 dipendenti. Ci troviamo quindi di fronte a una evidente sperequazione, in quanto non sarebbe né ragionevole né ammissibile pensare che una impresa da 100.000 dipendenti potrà gestire diligentemente i dati personali con un solo privacy officer, nello stesso modo in cui lo dovrà fare una che abbia 300 dipendenti e sempre un unico privacy officer. E’ importante quindi rivedere anche questo parametro per evitare giganti anomalie europee, valutando l’introduzione di un criterio alternativo come uno proporzionale come l’obbligo di nomina “ogni 250 incaricati”, oppure per scaglioni, (esempio da 250 a 1.000 un privacy officer, da 1.001 a 2.500, 2 privacy officer, etc.), o ancora uno per ogni sede o unità aziendale in cui siano assegnati 250 o più incaricati. Le soluzioni possono essere diverse, ma è urgente affrontare il nodo quanto prima perché invece di un progetto europeo ambizioso sulla privacy, potremmo trovarci un mostro europeo sulla privacy.

Per questo, se da Bruxelles non dovessero esserci cambiamenti di rotta, Federprivacy esporrà le proprie perplessità indirizzando una lettera a tutte le autorità interessate dal Regolamento Europeo, Garante Europeo compreso, così da poter richiamare l’attenzione su tematiche che, coinvolgendo  27 nazioni, non possono assolutamente essere trascurate.

 

e-max.it: your social media marketing partner
Commenti (0)
Solo gli utenti registrati possono scrivere commenti!

Stampa PDF

Domande Frequenti

Che valore ha una certificazione di Privacy Officer? 2014-10-08   Innanzitutto, la certificazione della figura professionale del Privacy Officer e Consulente della Privacy, può essere rilasciata solo da un organismo indipendente ed accreditato, operante in conformità agli standard internazionali della Norma ISO/IEC 17024…
e-max.it: your social media marketing partner

Le notizie del giorno

2018-01-16 Nove giovani appena maggiorenni agli arresti domiciliari
2018-01-16 Insegnante 59enne a domiciliari. Accusata anche averli colpiti
2018-01-16 In media nel 2017 +1,2%, torna rialzo dopo deflazione

Copyright © Privacy Officer 2018

Powered by Il Corriere della Privacy Srl - IT06199650489