Il DPS ha sempre rappresentato la pietra dello scandalo per le aziende; chi lo odiava e lo percepiva come l'ennesimo fardello burocratico e chi lo amava perchè finalmente aveva uno strumento di legge per sensibilizzare il management ai rischi IT. Con i governi che si sono susseguiti fino al 2012 il DPS è stato piano piano ridotto fino a diventare non più obbligatorio.
Con il nuovo regolamnto Europeo sulla Data Protection, la cui bozza è stata pubblicat ail 25 Marzo, le cose sembrano cambiare, anzi il DPS sembra rinascere come una fenice con nuovo vigore e maggiore foreza.
Vediamo una sintesi degli articoli che hanno un impatto significativo (contributo dal blog di Cesare Gallotti http://blog.cesaregallotti.it/2012/02/regolamento-ue-sulla-privacy-forse-il.html)
- articolo 26: stabilisce chiaramente che se il Responsabile (Processor) tratta i dati senza opportune istruzioni del Titolare (Controller), allora deve essere considerato Titolare Congiunto (Joint Controller). Il trasferimento ad altri da parte del Processor è vietato, se non dopo autorizzazione da parte del Controller: il 99% degli attuali Responsabili Esterni saranno quindi Joint Controller
- articolo 28: il DPS è morto e, se passa questo articolo, risorgerà; forse più molesto di prima, tranne che per le aziende con meno di 250 addetti (bisognerà poi vedere come tradurre "employing fewer than 250 persons")
- articolo 30: bisogna ancora fare una "valutazione dei rischi"
- articoli 31 e 32: gli incidenti con impatto sui dati personali dovranno essere comunicati al Garante e agli interessati
- articolo 33: la notifica al Garante viene un poco trasformata; anzi... bisognerà anche fare un "impact assessment"
- articolo 35 e seguenti: le aziende con più di 250 persone dovranno nominare un Data Protection Officer
- articolo 39: potrà esistere una "certificazione privacy"; ne vedremo delle belle... temo.