Perché un consulente in materia di sicurezza sul lavoro (e non solo) dovrebbe approfondire questa tematica?
La protezione dati personali (privacy) è oggi regolata dal D. Lgs. 196/2003 (Codice Privacy) e coinvolge aziende e professionisti che utilizzano dati personali, influenzandone le attività e l’organizzazione. Con il Regolamento EU 679/2016 a partire dal 25 maggio 2018 cambieranno le modalità di gestione delle informazioni personali per aziende e professionisti. Questo cambiamento, pur nella continuità raccomandata dall’Autorità Garante delle Protezione Dati, determina la necessità di adeguare processi e modalità di tenuta dei dati personali in organizzazioni grandi e piccole e anche per i professionisti del settore della salute e prevenzione e protezione dei dati personali.

Chi sono i destinatari dei 2 percorsi?

1) Data Protection Officer: chi fa, o farà, della protezione dei dati personali la propria professione; chi garantisce che le organizzazioni siano conformi alla normativa; chi supervisiona la privacy aziendale

2) Specialista Privacy: chi ricopre ruoli operativi che prevedono il trattamento di dati personali

In quali aziende è necessario individuare il DPO? Qualche esempio?
La normativa prevede che devono designare obbligatoriamente un DPO:

a) amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;

b) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

c) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Nel precisare che anche i dipendenti di un’azienda appartengono alla categoria degli “interessati”, aldilà del freddo linguaggio burocratico, tutte le Pubbliche Amministrazioni devono avere un DPO, mentre per le altre organizzazioni non esiste una regola precisa e inequivocabile, ma va sempre valutata la situazione caso per caso. Possedere una buona conoscenza della materia può aiutare a comprendere se è necessario, se è consigliabile o se è eccessivo avere un DPO, nel rispetto della norma ma anche nell’interesse dell’azienda. La sola presenza di un DPO, infatti, può facilitare l’osservanza della normativa e aumentare il margine competitivo delle organizzazioni.

Un RSPP che intende affacciarsi al tema quale opzione dovrebbe scegliere?
Ogni professionista ha le sue esigenze e la scelta del percorso dipende dalla necessità e dalle prospettive professionali. Tuttavia si possono identificare due filoni principali:

1) chi deve possedere conoscenze data protection esclusivamente in funzione del proprio ruolo di RSPP;

2) chi vuole ampliare la propria professionalità per poter offrire maggiore supporto alle organizzazioni per cui lavora o per garantirsi più opportunità professionali.

Nel primo caso è sufficiente scegliere il profilo “Specialista Privacy”, nel secondo caso il profilo è “Data Protection Officer”.