Ufficio privacy per le imprese medio-grandi e per le pubbliche amministrazioni. Il codice delle privacy e, in prospettiva, il regolamento europeo (in corso di approvazione e andrà a sostituire il codice), impongono di dotarsi di una funzione aziendale o di una unità organizzativa per gli adempimenti previsti dalla normativa sulla tutela della riservatezza. La numerosità degli adempimenti e il rischio delle sanzioni portano alla organizzazione di un apparato organizzativo adeguato al numero dei trattamenti e anche alla possibilità di utilizzare la tutela della riservatezza quale leva di marketing.

E per fare questo si può fruire delle possibilità fornite dalla legge 4/2013, che ha introdotto la disciplina dei professionisti cosiddetti «senza albo».

La legge 4/2013 prevede, infatti, un elenco delle associazioni dei professionisti, di natura privatistica, fondate su base volontaria, senza alcun vincolo di rappresentanza esclusiva, che hanno lo scopo di valorizzare le competenze degli associati e garantire il rispetto delle regole deontologiche.

La legge, beninteso, non vuole burocratizzare i settori economici, ma solo agevolare così la scelta e la tutela degli utenti nel rispetto delle regole sulla concorrenza.

Le associazioni devono, infatti, promuovere forme di garanzia a tutela dell’utente, tra cui l’attivazione di uno sportello reclami e contenzioso di riferimento per il cittadino consumatore e anche ottenere informazioni relative all’attività professionale e gli standard qualitativi da esse richiesti agli iscritti. L’elenco delle associazioni professionali è pubblicato dal Ministero dello sviluppo economico nel proprio sito internet.

A proposito di privacy, in previsione del regolamento europeo sulla protezione dei dati che dovrà sostituire il Codice della privacy, ma già oggi, le certificazioni delle professionalità basate sulla norma ISO 17024, e il rilascio degli attestati di qualità rilasciate dalle associazioni ai sensi della legge 4/2013, si stanno sempre più affermando come strumenti idonei a verificare le competenze dei professionisti: si consideri che il trattamento di dati è classificato come attività pericolosa ai sensi dell’articolo 2050 del codice civile, e chi seleziona un candidato a una posizione che richiede competenze effettive nel campo della data protection, deve prestare attenzione a non cadere in incaute o inidonee designazioni.

Ma vediamo i compiti dell’ufficio privacy.

Innanzi tutto si tratta di monitorare la situazione e di fare il quadro dei trattamenti della realtà aziendale o di ente pubblico.

Il check up aziendale mette in campo competenze giuridiche e competenze tecniche e prevede il censimento delle categorie di operazioni effettuati con dati personali e una iniziale verifica documentale. Si deve programmare se e che tipo di informativa deve essere elaborata, se e in che modalità chiedere il consenso degli interessati.

Queste verifiche presuppongono anche una verifica dei moduli contrattuali in uso, anche in relazione a eventuale circolazione dei dati tra società di uno stesso gruppo. Questi aspetti riguardano sia i rapporti con i fornitori e con i clienti, sia quelli con i dipendenti

Altre verifiche documentali riguardano i regolamenti interni relativi agli adempimenti generali o a settori specifici come per esempio l’uso della posta elettronica o della rete internet. Una verifica ad hoc tocca i sistemi di videosorveglianza, i sistemi biometrici, sistemi Gps, sistemi Rfid (etichette intelligenti).

Se, poi, l’azienda lavora sull’estero il check up concerne la possibilità stessa di trasferimento dei dati e la stesura dei documenti contrattuali.

La gestione del sito internet aziendale o dell’ente pubblico obbliga a un monitoraggio dell’uso dei cookies, all’inserimento degli avvisi di legge, così come tutta la funzione di assistenza alla clientela e di call center.

Particolare attenzione deve essere riservata alla funzione di marketing e alla eventuale connessa attività di profilazione della clientela.

Dal check up iniziale si passa poi al piano degli adempimenti, che comprende la redazione della modulistica, l’effettuazione di notificazioni, comunicazioni, richieste di autorizzazione, verifiche preliminari e istanze al Garante. La redazione di regolamenti interni dovrà essere svolta in coordinamento con l’ufficio o il consulente che si occupa del sistema qualità e anche con chi si occupa degli adempimenti previsti dalla legge 231/2001 (responsabilità amministrativa delle imprese) e con chi si occupa della sicurezza dei lavoratori (si pensi ai profili che riguardano i dati sanitari e il rapporto con il medico competente).

La collaborazione con l’amministratore di sistema e in genere con chi si occupa dei sistemi informativi riguarda in particolare modo la predisposizione delle misure di sicurezza fisiche, logiche, informatiche a tutela del patrimonio di informazioni gestito in azienda o nell’ente pubblico.

Infine la funzione aziendale privacy deve dedicarsi anche ai reclami e al contenzioso e quindi alla assistenza in procedimenti di reclami, ricorsi, ma ancora prima in caso di attività ispettiva del Garante o della Guardia di finanza.