DPO: il WP 29 ridisegna lo specialista della privacy

Se il data protection officer, un soggetto specialista della protezione dei dati al quale deve essere garantita dal titolare autonomia e indipendenza, è, probabilmente, la novità della quale si parla di più introdotta dal Regolamento, essa non è l’unica. Il Regolamento generale sulla protezione dei dati, volto a uniformare la disciplina del trattamento dei dati personali nell’Unione Europea (o meglio dello Spazio Economico Europeo), seppure non stravolgerà l’impostazione privacy già seguita in Italia, introduce diverse importanti novità che necessitano di essere interpretate per avere un’attuazione omogenea. In tal senso, il principale attore sarà il Gruppo di lavoro ex art 29 (WP 29): come da pianificazione, al fine di aiutare i titolari e i responsabili ad attuare le nuove norme, si attendono indicazioni entro il 2017 in ordine a one stop shop o sportello unico, meccanismo di coerenza, autorità capofila, valutazione di rischi e privacy impact assessment, portabilità dei dati, certificazione e data protection officer (responsabile della protezione dei dati). Alcuni di questi aspetti riguarderanno direttamente l’organizzazione delle DPA, altri riguarderanno invece direttamente l’organizzazione del titolare e del responsabile. E’ ovvio che il primi si rifletteranno giocoforza anche sui secondi.

Lo specialista della privacy

Si è molto parlato del data protection officer, un soggetto che in Italia ha avuto una genesi dal basso, non essendo previsto dalla normativa, e che è stato individuato, in estrema sintesi, come un soggetto specializzato ed esperto nella protezione dei dati personali, al quale tuttavia, data la scansione dei ruoli privacy operata dalla normativa nazionale, non poteva essere garantita la necessaria autonomia  indipendenza. Il Regolamento generale sulla protezione dei dati ha canonizzato questa figura, affiancandola a quelle già note, precisando i requisiti e le competenze che questo “specialista” deve possedere.  Si è passati quindi da una prospettiva che vedeva il DPO come una sorta di consulente (subordinato, come ogni altro responsabile, al titolare) a una sorta di supervisore che, anche se legato da un rapporto di lavoro dipendente, deve comunque godere di autonomia. Tuttavia la normativa ha lasciato ampi spazi di incertezza, che necessitano di una interpretazione uniforme.

Dati personali pret a porter

Così come si è parlato a lungo della portabilità dei dati, anch’essa affermatasi nella prassi (si pensi alla contrattualistica cloud, ove rende maggiormente appetibile la potenziale perdita di controllo associata a questo tipo di strumento), ma è resta comunque priva di parametri normativi e normalmente è concessa solo sulla scorta  delle buone prassi del contraente più forte.  Si tratta di due degli aspetti più critici e urgenti da   armonizzare e tradurre in pratica, così come necessita di essere definito il prima possibile il rapporto e il meccanismo di funzionamento coordinato delle autorità (con le quali peraltro il DPO si dovrebbe rapportare).

Il primo intervento del WP 29

Così l’assemblea plenaria del Gruppo di lavoro che ha affrontato questi temi ha dato finalmente la sensazione che l’adeguamento al Regolamento generale sulla protezione dei dati cominci a prendere forma: dall’Assemblea plenaria del WP 29 infatti, sono scaturiti importanti documenti, destinati ad armonizzare l’applicazione del regolamento e a guidare i titolari europei nel tradurre nella pratica le indicazioni del legislatore.

Le linee guida

In particolare in ordine all’implementazione del Regolamento, sono state pubblicate le linee guida e le “domande frequenti” in ordine  ai tre aspetti cardine sopra accennati della normativa di recente emanazione:

• portabilità dei dati;
• data protection officer;
• lead authority (autorità capofila);

Niente da dire?

Sui documenti sarà possibile intervenire con commenti e suggerimenti. Non solo enti, specialisti ed esperti ma anche chiunque sia interessato all’implementazione del regolamento, potrà intervenire, entro la fine di gennaio 2017, inviando il proprio contributo a

JUST-ARTICLE29WP-SEC@ec.europa.eu e presidenceg29@cnil.fr.

Le linee guida e le FAQ possono essere consultate al seguente indirizzo:

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

AGGIORNAMENTO DEL 01.02.2017: il termine per inviare osservazioni e contributi è stato prorogato sino al 15 febbraio 2017 .

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017