Mar11122018

Ultimo aggiornamento06:43:53

Il Regolamento Europeo, progetto ambizioso, ma sul Privacy Officer qualcosa è da rivedere

  • PDF

Cresce l’attesa a seguito della presentazione alla Commissione Europea della proposta di regolamento europeo sulla privacy avvenuta il 25 gennaio 2012, contenente le nuove regole sulla protezione dei dati che entreranno in vigore tra circa un anno, e il quadro generale che emerge è quello di una vera e propria rivoluzione, in linea con il cambiamento degli scenari che hanno fatto arrivare le nostre informazioni persino sulla nuvola. Eppure sulla designazione del Privacy Officer qualcosa non quadra proprio.

 


Se infatti l’ambizioso progetto del Regolamento Europeo sulla Privacy presenta novità storiche, a partire dal fatto stesso che esso sarà contemporaneamente vigente e direttamente applicabile in tutti e 27 stati membri UE, ma anche l’introduzione del diritto all’ oblio e la portabilità dei dati, d’altra parte c’è qualcosa sulla nuova figura del Privacy Officer (o responsabile della protezione dei dati, o data protection officer) così com’è adesso non convince affatto.

All’articolo 35 della proposta di regolamento, che sta seguendo il suo inter per essere approvata dal parlamento europeo, si trova infatti la seguente prescrizione: “Il responsabile del trattamento e  l’incaricato del trattamento designano sistematicamente un responsabile della protezione dei dati quando: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, oppure b) il trattamento è effettuato da un’impresa con 250 o più dipendenti, oppure  c) le attività principali  del responsabile del trattamento o dell’incaricato del trattamento consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati.”

Se sotto il profilo socio economico, questo obbligo genererà migliaia di opportunità di lavoro, (basti  pensare che solo in Italia l’ultima fotografia Istat contava 3.500 imprese con oltre 250 dipendenti, e gli enti pubblici sono oltre 20.000), sotto il profilo politico e giuridico qualcosa non convince:

a) la nomina del responsabile della protezione dei dati (Privacy Officer) è imposta indistintamente alle imprese con 250 o più dipendenti, ma il criterio adoperato non si rivela per niente coerente, in quanto ci sono aziende, (e in Italia lo sappiamo bene), con 400/500 o anche più dipendenti, la maggior parte dei quali svolgono però  un lavoro manuale o agricolo, mentre una parte del tutto minima lavora effettivamente in ufficio e gestisce i dati personali. Sarebbe irragionevole usare come parametro per la nomina del Privacy Officer il numero dei dipendenti (operai) che magari trascorrono la loro giornata lavorativa nel campo a svolgere lavori che con i dati  non hanno niente a che fare. In Italia, abbiamo infatti fior di aziende del genere che producono vino, olio, latticini, etc.  mentre gli impiegati in ufficio che trattano i dati possono essere pochissimi, anche solo 3 o 4. Per non basarsi semplicisticamente sulle dimensioni dell’impresa, ma per produrre regole coerenti per la materia di cui si parla,  il parametro più ovvio che forse andrebbe utilizzato potrebbe invece essere basato sul numero totale degi incaricati del trattamento di un’azienda, ovvero quei dipendenti che per le loro mansioni devono trattare dati personali e ricevono per questo un incarico formale. Diversamente, si verificherebbero solo diffuse anomalie, dove imprese con 4 o 5 dipendenti che trattano dati sarebbero obbligate ad avere un Privacy Officer, e sull’estremo opposto imprese con un numero relativamente modesto di dipendenti, ad esempio 150, che sono tutti impegnati a trattare dati personali anche sensibili, (basti pensare a aziende che operano nel campo della ricerca, o  laboratori di analisi strutturati, etc), ma che sarebbero esonerate dall’obbligo di nomina. In questo caso potrebbe essere opportuno abbassare la soglia da 250 a 100 incaricati;

b) l’altro parametro che non convince, è proprio il criterio numerico non proporzionale attualmente individuato per l’obbigo di designare un Privacy Officer nelle imprese con 250 o più dipendenti:  significa questo che imprese come Poste Italiane, che contano oltre 140.000 dipendenti, o il Gruppo Ferrovie dello Stato con oltre 200.000 dipendenti dovranno nominare un solo responsabile della protezione dei dati (Privacy Officer), cosiccome le imprese di dimensioni simili a formiche in confronto con queste menzionate,  e che magari hanno 250 dipendenti. Ci troviamo quindi di fronte a una evidente sperequazione, in quanto non sarebbe né ragionevole né ammissibile pensare che una impresa da 100.000 dipendenti potrà gestire diligentemente i dati personali con un solo privacy officer, nello stesso modo in cui lo dovrà fare una che abbia 300 dipendenti e sempre un unico privacy officer. E’ importante quindi rivedere anche questo parametro per evitare giganti anomalie europee, valutando l’introduzione di un criterio alternativo come uno proporzionale come l’obbligo di nomina “ogni 250 incaricati”, oppure per scaglioni, (esempio da 250 a 1.000 un privacy officer, da 1.001 a 2.500, 2 privacy officer, etc.), o ancora uno per ogni sede o unità aziendale in cui siano assegnati 250 o più incaricati. Le soluzioni possono essere diverse, ma è urgente affrontare il nodo quanto prima perché invece di un progetto europeo ambizioso sulla privacy, potremmo trovarci un mostro europeo sulla privacy.

Per questo, se da Bruxelles non dovessero esserci cambiamenti di rotta, nelle prossime settimane Federprivacy metterà nero su bianco le proprie perplessità indirizzando una lettera a tutte le autorità interessate dal Regolamento Europeo, Garante Europeo compreso, così da poter richiamare l’attenzione su tematiche che, coinvolgendo  27 nazioni, non possono assolutamente essere trascurate.

Ti può interessare anche:

Commenti (0)
Solo gli utenti registrati possono scrivere commenti!

Ultimo aggiornamento Giovedì 07 Febbraio 2013 12:35

Focus

Privacy, utenti più tutelati con il giro di vite sul consenso

Privacy, utenti più tutelati con il giro di vite sul consenso

Amici che con vostro stupore sanno dove vi trovate o che musica state ascoltando, call center che vi bersagliano di telefonate promozionali nonostante non vi ricordiate di aver mai dato loro il...

18 Mag 2017 Letto:1119

Leggi tutto

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

Il diavolo e l’acqua santa: il paradigma potrebbe apparire eccessivo ma descrive in sintesi il rapporto che accomuna le attività di profilazione ed il trattamento dei dati personali. Infatti se esaminiamo tutto...

15 Apr 2016 Letto:6533

Leggi tutto

La sicurezza dei sistemi di ICT in una prospettiva di law and techno…

La sicurezza dei sistemi di ICT in una prospettiva di law and technologies

La sicurezza è un bisogno innato nell’essere umano, legato alla costante presenza nell’ambiente di condizioni di imprevedibilità che determinano nell’uomo stati emozionali di insicurezza, di paura. Nella sua analisi delle motivazioni del...

04 Apr 2016 Letto:1590

Leggi tutto

I dati personali come un numero telefonico? Il diritto alla portabil…

I dati personali come un numero telefonico? Il diritto alla portabilità del dato nel nuovo Regolamento UE

I dati personali come un numero di telefono. Standardizzati, leggibili a macchina, in definitiva portabili. È l’obiettivo dichiarato dal nuovo articolo 18 del Regolamento Europea sulla protezione dei dati personali, secondo cui “l'interessato...

04 Apr 2016 Letto:1898

Leggi tutto

Nuovo Regolamento europeo: molto più complesso se si pensa allo scen…

Nuovo Regolamento europeo: molto più complesso se si pensa allo scenario

Il Regolamento europeo per la privacy, non è una semplice nuova legge, per le aziende sarà una innovazione che si dovrà inserire in un contesto estremamente complesso ed in uno scenario giuridico...

04 Apr 2016 Letto:2415

Leggi tutto
Il Corriere della Privacy S.r.l. P.I. 06199650489 - Testata registrata Tribunale di Firenze N.5871 del 08.05.2012
©Copyright 2011-2018 | | Direttore Responsabile: Nicola Bernardi