L’istituzione del privacy officer è sicuramente una delle peculiarità più discusse dell’emanando Regolamento europeo sul trattamento dei dati personali. Tale figura professionale, tuttavia, non rappresenta una vera e propria novità ma è, nella pratica, già regolamentata in alcuni Paesi membri dell’UE, come ad esempio in Germania, in particolare nella legge tedesca sulla protezione dei dati (BDSG) all’articolo 4f. (N.D.R. Per approfondimenti, vedasi il filmato dell’Intervento del Prof. Pieluigi Perri al 5° Privacy Day Forum)
Sebbene si sia ancora in fase di bozze e non di documenti definitivi, la porzione del Regolamento dedicata al privacy officer ha raggiunto una struttura quasi definitiva. Facendo riferimento, quindi, a una delle ultime versioni consolidate del Regolamento circolate poco prima dell’estate, ossia l’orientamento generale del 15 giugno 2015 a seguito del quale si sono avviati i “triloghi” tra il Consiglio “Giustizia e affari interni” e il Parlamento europeo, è possibile leggere agli articoli 35 e seguenti i capisaldi di quella che sarà la disciplina del privacy officer.
Innanzitutto, la designazione di un privacy officer, salvo che non sia espressamente prevista dalla legge dello Stato membro, è facoltativa. Si tratta tuttavia, come già anticipato, di una figura professionale, che deve possedere una “conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati”. Può, infine, essere un dipendente del titolare del trattamento o un soggetto esterno.
Riassunte brevemente le caratteristiche salienti di questa figura, si possono già notare diverse similitudini con la figura del responsabile del trattamento, già presente all’interno del D.Lgs. 196/03, e dell’amministratore di sistema di cui al Provvedimento del Garante del 27 novembre 2008 e successive modifiche, per cui si può affermare che esso non rappresenti una novità assoluta neanche per il nostro ordinamento. La riprova sta nel fatto che già diversi soggetti privati, ma anche soggetti pubblici, hanno stipulato contratti con consulenti interni o dipendenti interni, qualificandoli espressamente quali “privacy officer”.
È tuttavia innegabile che le complessità connesse al trattamento dei dati personali richiedano, ormai, delle figure professionali dedicate che possano rispondere sia alle esigenze delle imprese sia a quelle delle Pubbliche Amministrazioni, motivo per il quale la definizione nel Regolamento dei requisiti professionali e dei compiti che dovrà assolvere un privacy officer saranno certamente utili ad evitare, da un lato, il proliferare di soggetti che si qualifichino come tali in maniera del tutto autoreferenziale senza aver seguito dei percorsi formativi ad hoc o aver maturato una consistente pratica professionale e, dall’altro, potrà aiutare i titolari del trattamento nella corretta individuazione dei professionisti idonei ad assolvere i compiti assegnati.
A cura di Pierluigi Perri, Professore di informatica giuridica avanzata presso la Facoltà di Giurisprudenza dell’Università di Milano
