Categoria: Il Privacy officer

Privacy Officer (PO)

La figura del Privacy Officer esiste già da tempo negli Stati Uniti e in gran parte dei paesi dell’Europa del nord, ora d’obbligo nel nuovo Regolamento Europeo per la protezione dei dati in già in vigore e con efficacia a partire dal 25 maggio 2018.
Il Privacy Officer è denominato nel Regolamento europeo in lingua inglese anche come Protection Officer (DPO) oppure nella versione italiana Responsabile della protezione dei dati.

Il DPO è uno specialista della privacy ed esperto dei sistemi informatici, delle metodologie che permettono il trattamento dei dati rispettando le normative sulla privacy e della protezione contro crimini informatici.

SECONDO IL GDPR (REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI)  È OBBLIGATORIA LA DESIGNAZIONE DI UN PRIVACY OFFICER SE:

1) Il trattamento è svolto da un’autorità pubblica o da un organismo pubblico
2) Le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala

°°°°°

Per «attività principali» si intendono le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento, comprese tutte quelle attività per le quali il trattamento dei dati è inscindibilmente connesso all’attività del titolare o del responsabile.
Per esempio, il trattamento di dati relativi alla salute (come le cartelle sanitarie dei pazienti) è da ritenersi una delle attività principali di qualsiasi ospedale; ne deriva che gli ospedali o le cliniche dovranno designare un Privacy Officer.

Il concetto di «monitoraggio regolare e sistematico» comprende tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. Non si tratta, però, di un concetto riferito esclusivamente all’ambiente online.

E’ «regolare» quando:
– avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
– ricorrente o ripetuto a intervalli costanti;
– avviene in modo costante o a intervalli periodici.
E’ «sistematico» quando:
– avviene per sistema;
– è predeterminato, organizzato o metodico;
– ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
– è svolto nell’ambito di una strategia.

°°°°°
3) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Il Regolamento definisce “categorie particolari” gli ex dati sensibile del codice privacy D.Lgs 196/2003.


Tuttavia, anche se un’azienda non rientra nelle precedenti casistiche, è comunque tenuta al rispetto del nuovo Regolamento.

Secondo il testo del Regolamento sulla protezione dei dati personali, quando una persona viene designata come “Responsabile della protezione dei dati” (PO), il titolare del trattamento dei dati (l’azienda o l’ente) deve assicurarsi che sia prontamente coinvolto, che adempia alle funzioni in piena indipendenza nello svolgimento del suo compito di vigilanza sull’attuazione e l’applicazione della normativa.

> visualizza la locandina del Garante 

Il responsabile della protezione dei dati riferisce direttamente alla dirigenza e risponde gerarchicamente ad essa.
Il responsabile del trattamento sostiene il Privacy Officer nel suo ruolo per l’esecuzione dei suoi compiti, fornendogli tutte le risorse necessarie, quali risorse finanziarie, personale, locali, attrezzature e quanto occorrente per adempiere alle funzioni.
A seconda dell’organigramma stabilito dall’azienda o dall’ente, uno o più responsabili della protezione dei dati possono operare anche in gruppo, specialmente nei casi di grandi aziende e multinazionali, nelle quali può essere necessario ricorrere a più soggetti.

Ai sensi dell’ art. 39 del Regolamento Europeo sulla protezione dei dati, il responsabile della protezione dei dati:

a. deve essere adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;
b. deve essere sostenuto dal titolare del trattamento e dal responsabile nell’esecuzione dei compiti assegnati;
c. deve avere le risorse necessarie per adempiere ai compiti assegnati;
d. deve poter accedere ai dati personali e ai trattamenti che riguardano la struttura in cui è inserito;
e. deve mantenere la sua conoscenza specialistica (corsi di aggiornamento);
f. deve essere indipendente nell’esercizio delle sue funzioni;
g. non deve essere penalizzato o rimosso per l’adempimento dei propri compiti;
h. è tenuto al segreto e alla riservatezza in merito all’adempimento dei propri compiti;
i. non può svolgere altre funzioni o compiti che determino un conflitto di interessi.

L’articolo 39 del Regolamento Europeo sulla protezione dei dati personali, elenca i compiti del responsabile della protezione dei dati, che sono almeno i seguenti:

a. informare e consigliare il titolare del trattamento o il Responsabile nonché i dipendenti;
b. sorvegliare l’osservanza del Regolamento e delle altre leggi vigenti nell’Unione Europea in materia nonché delle policy;
c. fornire se richiesto un parere sulla valutazione di impatto sulla protezione dei dati personali e sorvegliare lo svolgimento;
d. fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento di dati personali.


Il Privacy Officer è una risorsa non un onere ! 

Se ad oggi, alle aziende che richiedevano maggiori standard di sicurezza venivano consigliati antivirus e firewall, al privacy officer potrà essere richiesto un piano strategico di protezione sistematica sviluppato ad Hoc, a partire dalla messa in sicurezza dei dati, e quindi con un baricentro sempre più spostato verso la cyber security.

Il Privacy Officer :

  • Evita pesanti sanzioni ai Titolari d’azienda
  • Diminuisce i rischi legati alla perdita dei dati
  • Aumenta la percezione di affidabilità da parte dei clienti/cittadini
  • Risolve e mantiene aggiornate procedure di privacy e di sicurezza dei sistemi informativi e provvedere a mantenere a formazione del personale
  • Favorisce il rapporto tra individui/personale dipendente e Aziende/P.A.

Già nel 1996 l’ Italia aveva adottato regole per la tutela della privacy,

evoluzione degli stessi concetti di Privacy e protezione dei dati dovuti principalmente alla diffusione del progresso tecnologico

L’evoluzioni degli stessi concetti di Privacy e la protezione dei dati dovuti principalmente alla diffusione del progresso tecnologico, impongono oggi con il libero mercato e libero transito di persone, anche nuove regole sulla protezione dei dati e del libero scambio dei dati all’interno dell’Unione Europea.

A partire dall’inizio del nuovo secolo, abbiamo assistito ad una rivoluzione tecnologica, che ha visto il proliferare esponenziale di sistemi informatici che hanno sostituito in pochi anni tutti i registri e gli archivi cartacei con files digitali memorizzati prima su floppy disk e hard disk, poi su Cd rom / DVD ed infine su memorie flash per poi essere erogatati direttamente online.

Parallelamente anche per gli impianti di videosorveglianza c’è stato un vero boom, il cambio generazionale dai sistemi di registrazione analogica (VHS) ai DVR digitali, più versatili, meno ingombranti ed economici ha permesso di raggiungere circa 500.000 installazioni (dato al 2015) con previsione di arrivare a 1 milione entro il 2020.

Tutte queste innovazioni tecnologiche, continue, di rapida obsolescenza e spesso imprevedibili, si sono prima diffuse in ambito aziendale per poi arrivare – anche con un pesante contributo da parte dei dispositivi mobile – al privato utilizzatore; il repentino cambiamento di tecnologie e di modalità di fruizione dei contenuti non hanno fatto altro che complicare il lavoro della protezione dei dati.

Si apprende oggi dai telegiornali, ma solo in minima parte di ciò che realmente accade, di quotidiani fatti di intrusione da parte di hackers addirittura nei sistemi informatici governativi, virus, trojan, tecniche di phishing ogni giorno ogni dispositivo connesso alla rete è attaccato! Gli unici scopi degli attacchi sono la volontà di truffare la vittima al fine di sottrarre denaro oppure “rubare” dati; quest’ultima prassi è oggi la preferita in quanto più remunerativa e spesso invisibile agli occhi della vittima, rimandiamo l’approfondimento ai Big Data >>

Rubare i dati, in questo contesto temporale, significa impossessarsi di gran parte della vita dell’individuo o, in caso di un’azienda, impadronirsi virtualmente della stessa: dei clienti, dei fornitori, dei progetti e avere il controllo su dipendenti e operazioni strategiche in corso ecc.

Il danno potrebbe essere in alcuni casi inestimabile !

Il disagio provocato a seguito della perdita dati è noto a tutti noi quando uno smartphone o un PC perde la memoria; anche se a seguito di un guasto, il recupero anche parziale di alcuni dati è in molti casi di vitale importanza, pensiamo se oltre alla perdita i nostri dati fossero anche passati di mano a persone a noi sconosciute ( Data Breach ).

I Garanti Europei, nel 2016 si sono riuniti e hanno scritto il Regolamento Europeo per la protezione dei dati (già legge e in vigore dal 25 maggio 2016) “obbligando” le Pubbliche Amministrazioni e le grandi aziende (o le aziende che trattano molti dati) ad avere al loro interno un professionista della privacy, il Privacy Officer appunto.

Noterete che se l’obiettivo delle precedenti leggi sulla Privacy era quello di sensibilizzare il titolare del trattamento a non abusare dei dati altrui e a diffondere la cultura della tutela alla riservatezza, oggi si parla di trattamento dei dati in modo più ampio, i dati sono oggi digitali, archiviati su database su server locali o Cloud, occorre “blindare” i sistemi informatici, dobbiamo essere consapevoli che gli attacchi informatici non sono una remota possibilità ma già una prassi ordinaria, è necessario adottare sistemi di sicurezza progettati sin dal primo moneto, quando possibile utilizzando anche tecniche di crittografia.