Pizzetti (ex garante): ecco perchè il Dpo è sopra le parti e non è licenziabile

Autorità e normativeNormativaSicurezza

Francesco Maria Pizzetti, ordinario di diritto costituzionale (Università degli studi di Torino) e presidente dell’Autorità Garante per la privacy tra il 2005 e il 2012, intervenuto a un evento Business International, sottolinea attenzioni nel Gdpr e sul ruolo del Dpo

Con il Gdpr non sono più i dati a essere oggetto di protezione, ma i trattamenti: la protezione dei dati è solo un aspetto parziale della nuova regolamentazione. Col nuovo regolamento, spariscono i dati sensibili e diventano protagonisti i processi relativi al trattamento particolare di dati, così come la valutazione del rischio va fatta sul trattamento e non sul dato. Sono queste, alcune e basilari informazioni che le aziende, ma non solo, devono tenere ben a mente a ridosso del famigerato 25 maggio 2018, data dalla quale, senza proroghe o altri stravolgimenti, il Gdpr sarà l’unico regolamento valido in Europa sul trattamento dei dati particolari.

Francesco Maria Pizzetti, ordinario di diritto costituzionale (Università degli studi di Torino) e presidente dell’Autorità Garante per la privacy tra il 2005 e il 2012, intervenuto durante il Global Risk Forum organizzato a Milano da Business International, parla chiaro e su alcuni punti e articoli del nuovo regolamento dà delle indicazioni molto precise. In primo luogo sottolinea che sotto la lente, c’è il trattamento dei dati particolari e non più solo i singoli dati sensibili e afferma.

“Con il nuovo regolamento si proteggono i processi, i trattamenti, quindi il tema del ‘proteggere i dati’ è solo una parte del regolamento. Prima di tutto bisogna rendere sicuro il trattamento perché il focus della nuova normativa è il processo, non il dato, il processo deve avvenire in modo tale da non mettere a rischio le persone per cui i dati sono trattati quindi, nel nuovo regolamento si ridimensiona parecchio il concetto di dati sensibili lasciando il posto al concetto di processi relativi ai trattamenti particolari di dati. Sempre secondo l’articolo 9, la valutazione del rischio va fatta sul trattamento e non sul dato, è sempre il processo al centro della responsabilità del titolare. Infatti – prosegue- osservando i processi (da come è organizzato l’ufficio, per esempio) e leggendo l’articolo 24, si evincono misure organizzative e tecnologiche tali da ridurre il rischio. Quindi, la sicurezza informatica è importante mano non è tutto! Bisogna tenere conto anche dell’organizzazione, di come si viene in possesso dei dati, del tipo di contratto con il responsabile…”.

Francesco Pizzetti al microfono

Insomma, i trattamenti da mettere in sicurezza sono permanenti, ai fini del nuovo regolamento, perché devono essere costantemente aggiornati. Secondo Pizzetti, questo è il motivo per il quale, alcune imprese con un numero di dipendenti elevato debba tenere i registri dei trattamenti, veri e propri processi, in fin dei conti. “Il titolare dell’azienda – spiega Pizzetti – dovrà fare un grande lavoro: individuare i processi, in alcuni casi rilevanti da riportare nel registro trattamenti, fare la valutazione del rischio costante, se cambia il processo deve variare pure la valutazione del rischio, ecc..Ma dentro alla valutazione dell’impatto di rischio, si colloca il Dpo (Data protection officer), una figura specifica che non è il risk protection officer o il chief security officer, è una figura che deve avere competenze giuridiche legate alla protezione dei dati personali e, allo stesso tempo, al core business aziendale. Non sarà una figura informatica, ma una figura con competenze giuridiche che dialogherà con le figure informatiche in azienda, seguendo l’articolo 5 del regolamento che descrive la protezione del processo”.

Uno dei punti sollevati dall’ex garante è: Come mai il Dpo non è sostituibile? Ci sono tre funzioni legate a questa risposta. In primo luogo il Dpo è il miglior consulente del consiglio di amministrazione e cioè il braccio destro del titolare d’azienda. “Il Dpo è colui che verifica che i processi siano sicuri, che le persone siano formate, che i corsi di formazione siano effettivamente svolti, che accede ai processi aziendali sempre al corrente, da parte dei dirigenti, di quel che è stato fatto per mettere in sicurezza i processi e deve essere indipendente dal titolare, e non può essere licenziato, se non a fine del suo contratto”, afferma Pizzetti.

Global Risk Forum – la sala

La seconda funzione è rappresentata dal fatto che il Dpo è il punto di contatto con l’autorità.Quest’ultima necessita di una persona, all’interno delle aziende, che parli il suo stesso linguaggio, non il linguaggio dell’ufficio legale dell’azienda pronto per essere compreso solo dai giudici”. Infine, il Dpo è il punto di contatto dell’interessato. “L’interessato – spiega Pizzetti – non si rivolgerà al titolare dell’azienda, in caso di necessità, ma al Dpo il quale rappresenta il titolare. Per questo motivo, il nome del Dpo deve essere reso pubblico a tutti i dirigenti d’azienda”.

La figura del Dpo è obbligatoria all’interno di tutta la Pa e in tutte le aziende che trattino in modo elevato e in modalità telematica i dati personali. “Ci vuole buonsenso! – Tuona Pizzetti – non possiamo pensare che, per esempio, un negozio di una parrucchiera con due dipendenti necessiti di un Dpo!”.

Infine, un consiglio da parte di Pizzetti: “Non fate lo sforzo di trovare cosa si possa mantenere dalle vecchie abitudini, ma fate lo sforzo di entrare nel nuovo mondo”, conclude.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore