In questi giorni ho avuto modo di leggere un interessante articolo pubblicato da IAPP (International Association of Privacy Professionals) e di confrontarmi con alcuni colleghi DPO che lavorano a Bruxelles.
La domanda che tutti ci poniamo è:
Alla fine del Trilogo la figura del DPO sarà obbligatoria o solo suggerita ?
Come sapete negli ultimi 3 anni sono state redatte 3 diverse versioni di bozze di Regolamento Privacy UE ed in particolare quelle di: Commissione Europea, Parlamento Europeo e Consiglio d’Europa.
Se inizialmente le bozze di Regolamento della Commissione e del Parlamento parlavano di DPO obbligatorio per una serie di aziende, l’ultima versione del Consiglio d’Europa (CDE) ha rivisto sostanzialmente l’articolo 35 prevedendo la figura del DPO facoltativa ad eccezione di disposizioni specifiche dei singoli Stati membri.
In questi mesi, in sede di Trilogo, la divisione delle parti è rimasta, ma entro fine dicembre 2015 dovranno terminare i lavori e gli Stati arriveranno ad una posizione comune che, sia pure di compromesso, dovrà essere trovata.
I “rumors” dicono che un accordo potrebbe essere trovato rendendo la figura del DPO obbligatoria in due casi:
-
Numero di persone interessate. Dalle iniziali 5.000 si dovrebbe passare ad una cifra compresa fra 50.000 e 500.000 (quindi grandi DB – si pensi al marketing o alla P.A.);
-
Tipologia dei dati trattati. Ossia nel caso in cui l’attività principale del Data Controller riguardasse il trattamento di dati speciali (ex dati sensibili e giudiziari) ed in particolare dati sanitari. A ciò si aggiungano i Data Controller che trattano dati finanziari o dati di minori.
13 novembre 2015
Autore: Matteo Colombo