Giuseppe Pirlo è professore ordinario Università di Bari Aldo Moro e referente per Agenda Digitale e Smart City
Privacy, in arrivo grattacapi per le piccole imprese ma il GDPR resta una opportunità
Giuseppe Pirlo | 8 maggio 2018

Pur essendo oramai in prossimità del 25 maggio 2018, data in cui diventerà direttamente applicabile in tutti i Paesi UE il Regolamento europeo n. 679/2016 (General Data Protection Regulation – GDPR), molte sono le pubbliche amministrazioni e le imprese non ancora pronte ad allinearsi ai provvedimenti in materia di Data Protection.

Tra le priorità operative più discusse vi è certamente quella legata alla designazione del Responsabile della Protezione dei Dati (Data Protection Officer - DPO), che è l’incaricato che deve assicurare una gestione corretta dei dati personali nelle imprese e negli enti e che deve essere individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

Ma quali sono queste competenze? Come individuare la persona più idonea a svolgere il DPO? Appare infatti non banale definire le competenze che il DPO deve avere, anche in considerazione della necessità di interpretare la normativa e le prassi in materia di protezione dati alla luce dei diversi settori di riferimento nei quali il DPO deve agire, e che possono andare da quello della sanità a quello della scuola e dell’e-Government. Non solo, il DPO deve avere completa autonomia decisionale ed essere estraneo rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati. Questo può rendere particolarmente difficile l’individuazione della figura del DPO proprio da parte delle aziende di piccole/medie dimensioni, che costituiscono la maggior parte del tessuto economico italiano.

Molte sono le criticità quindi che stanno spingendo PA ed imprese a far riferimento a DPO esterni, nella speranza di trovare al di fuori delle proprie organizzazioni le competenze necessarie, anche se, va precisato, la responsabilità del corretto trattamento dei dati resta sempre del titolare del trattamento che ha anche il compito di comunicare al garante eventuali violazioni dei dati personali. Eppure sarebbe un errore valutare negativamente l’impianto del GDPR da cui anzi emerge lo sforzo del legislatore europeo da un lato di superare attraverso un approccio non prescrittivo i limiti delle politiche nazionali alla gestione dei dati e dall’altro di esigere da parte delle PA e delle imprese una nuova e specifica attenzione sull’importanza dei dati personali dei cittadini dell’UE e sull’esigenza di un loro corretto utilizzo.

 

Commenti