Quando negli anni '90 sorse la necessità per le grandi società americane di tutelarsi dalle crescenti preoccupazioni che i consumatori nutrivano riguardo l’utilizzo dei loro dati personali man mano che si sviluppava il mondo digitale, fu istituita la figura del “Privacy Officer”, che fu concepita come difensore delle aziende.
L’accountability, come ormai ampiamente condiviso, porta a definire, sulla base della valutazione dei rischi, le misure che servono alla mitigazione degli stessi, agendo sulle leve di gravità, probabilità e rilevabilità. Le misure sono definite dal Titolare del trattamento sulla base della valutazione dei rischi, che può essere condotta secondo approcci diversi. Il risultato della valutazione è l’IRP - indice di priorità del rischio/risk priority number, che deve essere confrontato con il livello di priorità stabilito sulla base del superamento di una determinata soglia di intervento.
Che anno è stato il 2021 per i professionisti della privacy? E quali sono le tendenze per i prossimi mesi? A tali domande offre risposta l’edizione di quest’anno del “Privacy Governance Report”, la ricerca prodotta dall’International Association of Privacy Professionals (IAPP) in collaborazione con EY e EY Law.
Come noto l'art. 37, par. 1, lett. a), del Regolamento UE 679/2016 (RGPD) prevede che i titolari e i responsabili del trattamento designino un RPD (DPO nell’accezione inglese) «quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali».
Ne segue che a titolo esemplificativo sono tenuti alla individuazione e designazione gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura, le aziende del Servizio sanitario nazionale, le autorità indipendenti ecc.
In questa rubrica ci siamo fatti anche noi portatori della “modesta proposta” (per dirla alla Jonathan Swift) di rendere i social a pagamento al fine di poterne contenere l'abuso. Il tema è aperto in vari Paesi del mondo (non da noi in realtà, principalmente in Usa e in Francia) dove se ne discutono i pro e i contro e la concreta fattibilità. In questo dibattito si è aperto un interessante tema collaterale: si parte dall'assunto che oggi i social sono gratuiti, ma lo sono davvero? Per rispondere bisogna partire da una precisazione: gli utenti (cioè tutti noi) non sono i veri clienti dei social; i veri clienti sono invece le aziende che pagano la pubblicità e quelle che pagano per avere i (nostri) dati sulla rete.
I Dpo invocano la legittima autodifesa. Sì, proprio così, i Dpo hanno bisogno di autodifendersi per riscoprire il loro posto nel grande quadro della privacy. Autodifendersi significa riscoprire le proprie identità, fare pace con se stessi e non cadere nella depressione da multipolarità congenita. La legittima autodifesa non è solo un diritto dei Dpo, ma anche un loro cogente dovere, così da compiere l’intero tracciato del circolo virtuoso: solo, con la legittima autodifesa, i Dpo potranno fare del bene a loro stessi e, contestualmente, ai titolari del trattamento. Al contrario, senza la reazione della legittima autodifesa i Dpo faranno del male a loro stessi e ai titolari del trattamento.
