Il privacy officer (in inglese, “agente della privacy”) è una figura professionale con competenze giuridiche, informatiche e gestionali, la cui responsabilità principale è osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’organizzazione, affinché questi siano trattatati in modo lecito e pertinente, nel rispetto delle normative vigenti.
Quando il soggetto che ricopre questo ruolo opera con autonomia e gli è conferito potere decisionale nello svolgimento delle proprie mansioni, si parla di chief privacy officer (CPO), figura strategia di gestione “C-level” che si è diffusa negli USA e nei paesi anglosassoni a partire dagli anni ’90, istituita dalle grandi società per rispondere alla preoccupazione dei consumatori sull’utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema. (Per approfondimenti, vedasi “Il Privacy Officer storia ed evoluzioni della figura professionale)
A motivo dei compiti che deve svolgere, il privacy officer deve possedere un’adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel paese in cui opera. Deve dunque poter offrire ai propri vertici aziendali la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge e assicurino sicurezza e riservatezza.
In Europa invece il Regolamento UE 2016/679 ha introdotto il Responsabile della Protezione dei Dati (Data Protection Officer), con competenze analoghe, ma che si distingue dal privacy officer dei paesi anglosassoni come figura non operativa e autonoma, che espleta le proprie funzioni di controllo in piena indipendenza senza ricevere alcuna istruzione o impartizione gerarchica, e che deve riferire sul suo operato direttamente ai vertici aziendali, i quali, per l’ esecuzione dei suoi compiti devono fornirgli personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti.
L’art.38 del Regolamento europeo sulla protezione dei dati personali, descrive la posizione del “responsabile della protezione dei dati”: Il titolare del trattamento o il responsabile del trattamento si assicura che il responsabile della protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Il titolare del trattamento o il responsabile del trattamento si assicura che il responsabile della protezione dei dati adempia alle funzioni e ai compiti in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabile della protezione dei dati riferisce direttamente ai superiori gerarchici del titolare del trattamento o del responsabile del trattamento.
Il titolare del trattamento o il responsabile del trattamento sostiene il responsabile della protezione dei dati nell’esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all’articolo 39 del regolamento.
L’art.39 del Regolamento europeo sulla protezione dei dati personali, elenca i compiti del responsabile della protezione dei dati: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; d) cooperare con l’autorità di controllo; e e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Il regolamento unico sulla protezione dei dati personali (c.d. GDPR, acronimo di “General Data Protection Regulation”) ha abrograto la direttiva 95/46/CE ed è direttamente applicabile dal 25 maggio 2018 in tutti gli Stati membri UE, obbligando tutti gli enti pubblici e tutte le aziende che rientrano nelle previsioni dell’art. 37 a nominare un data protection officer.
Sempre l’art. 37 prescrive che la designazione del DPO debba essere fatta in base alla conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 39, assicurandosi che la posizione della persona nominata non dia adito a conflitto di interessi. Il nominativo e le coordinate del Responsabile della Protezione dei Dati designato devono essere comunicati all’autorità di controllo e al pubblico, in Italia il Garante per la protezione dei dati personali.
Già diversi anni prima dell’introduzione del Regolamento UE, Federprivacy ha promosso la certificazione con Tϋv Italia la figura professionale del Privacy Officer e Consulente della Privacy, dando così un riconoscimento ai professionisti che si occupano di privacy, ma che prima non avevano una connotazione definita. Secondo le Statistiche, dell’Osservatorio di Federprivacy, nel 2018 i professionisti che avevano intrapreso il percorso di certificazione come Privacy Officer erano più di 2.000, di cui più di 400 lo avevano già concluso sostenendo l’esame con Tϋv. (Vedasi anche il video “Come si svolge l’esame di certificazione“)