Passa ai contenuti principali

GDPR compliance: se e come scegliere il DPO (Data Protection Officer)



La scadenza del 25 maggio 2018 si sta avvicinando a grandi passi e presto la compliance al GDPR sarà in cima alle priorità di molte aziende private ed enti pubblici. La domanda che molti si porranno allora sarà da che parte bisogna cominciare. Al primo posto della check-list c'è la scelta del DPO, il Data Protection Officer o se volete il responsabile della protezione dei dati nella traduzione italiana del testo di legge è la figura chiave per assicurare la compliance al nuovo regolamento europeo sui dati personali. Non è però sempre chiaro come questa figura debba essere scelta e quali debbano essere le sue mansioni. Recentemente il Garante dei Dati Personali, con newsletter del 15 settembre 2017, n. 432, si è espresso sui requisiti del Data Protection Officer, ribadendo che una certificazione anche se utile non è assolutamente obbligatoria, né dovrà essere costituito un apposito albo professionale. Allora vediamo quali dovranno essere i suoi compiti ed i criteri in base ai quali scegliere il DPO.

Il ruolo primario del DPO sarà quello di consigliare il Titolare ed il Responsabile del trattamento dei dati personali nell'identificare i rischi derivanti dal trattamento dei dati, quindi un'ottima conoscenza della normativa vigente in materia di privacy e trattamento dei dati personali è un requisito essenziale. In secondo luogo il DPO dovrà fungere da punto di contatto tra l'azienda pubblica o privata che sia e l'autorità garante, inoltre dovrà essere il referente ultimo dell'azienda circa tutte le richieste degli interessati in materia al trattamento dei loro dati personali. Ai sensi dell'art. 13 del regolamento, l'informativa affinché sia valida deve contenere i riferimenti del DPO (telefono, email). L'art. 39 del Regolamento europeo spiega al punto b) quelli che dovranno essere i compiti principali del responsabile della protezione dei dati:
"Sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo"
Nel dettaglio questi compiti comprenderanno:
  • Informare il titolare, il responsabile e gli incaricati sui loro obblighi in materia di trattamento dei dati personali.
  • Sorvegliare la conformità alla normativa vigente ed alle rispettive responsabilità.
  • Occuparsi della formazione del personale sulla consapevolezza legata al rischio privacy.
  • Se richiesto fornire consulenza nella redazione della Privacy Impact Assesment (PIA) e svolgere azioni di sorveglianza sul rispetto delle sue indicazioni all'interno dell'azienda magari operando delle verifiche a campione.
  • Interfacciarsi in caso di necessità con le autorità garanti facendo da punto di contatto tra l'azienda e le istituzioni di garanzia.
Inoltre il regolamento stabilisce che il DPO nell'ambito del suo mandato debba poter interloquire con le figure apicali del management aziendale e debba avere a disposizione il budget necessario per portare avanti i suoi compiti istituzionali come per esempio quello di garantire la formazione del personale sulla consapevolezza del rischio privacy. 

Chiaramente si tratta di un ruolo chiave in qualsiasi organigramma aziendale. 

Quando è necessario dotarsi di un DPO?

Anche qui il regolamento europeo è molto chiaro: il DPO è necessario allorquando il trattamento dei dati è compiuto da un organismo pubblico, quando viene eseguito un trattamento dei dati su larga scala o quando il trattamento riguarda particolari categorie di dati come per esempio i dati relativi alla salute o i dati genetici di un centro di ricerche mediche, i dati relativi all'origine etnica, alle convinzioni politiche o religiose degli interessati. Sebbene il regolamento non stabilisca cosa si intenda per trattamento di dati su larga scala, possiamo assumere che una banca, un'assicurazione, un motore di ricerca che esegua la profilazione degli utenti in rete siano da considerarsi trattamenti su larga scala.

Quindi abbiamo visto che in molti casi sarà necessario dotarsi di un DPO ma quali sono allora i criteri in base ai quali operare questa scelta. Se dovessimo stilare una lista degli skill necessari per la selezione della giusta figura professionale inserirei queste caratteristiche:
  • Conoscenza della normativa nazionale in materia di privacy e trattamento dei dati personali, conoscenza del nuovo regolamento europeo sui dati personali.
  • Conoscenza del ciclo di vita del dato digitale e della relative procedure di sicurezza.
  • Conoscenza dello specifico settore di attività e del contesto nel quale è impegnato l'ente di appartennza: il DPO deve conoscere l'azienda.
  • Buone doti di comunicazione personale e di leadership.
Non è necessario che il DPO sia un giurista né un informatico pur dovendo conoscere materie di entrambi questi ambiti disciplinari. Molto importante che sia un buon organizzatore.

Per molte piccole aziende potrebbe essere complesso scegliere una figura del genere, in questo caso è possibile unirsi ad altre aziende nello stesso ambito merceologico e condividere questa figura professionale.

Quando NON è necessario dotarsi di un DPO?

Il regolamento europeo non richiede che ogni singola organizzazione debba dotarsi di un DPO quindi vediamo quando questo non è necessario:
  • Quando salvo qualche rara eccezione l'azienda non effettua profilazione degli utenti.
  • Quando l'azienda non tratta particolari categorie di dati quali dati relativi alla salute, dati genetici, dati relativi alle opinioni politiche, religiose, alle preferenze sessuali degli interessati. In pratica quando tratta dati comuni.
  • Quando non effettua trattamenti di dati su larga scala, ma piccole basi di dati per la propria attività aziendale.
In tutti questi casi non è necessario dotarsi di un DPO.

Per maggiori informazioni:

Se avete trovato interessante questo articolo e ne volete approfondire degli aspetti potete contattarmi al seguente indirizzo e-mail: privacyofficer@bigazzi.it






Commenti

Post popolari in questo blog

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian

L'arte del camuffamento: come ingannare gli algoritmi di riconoscimento facciale

La società nella quale viviamo è purtroppo diventata anche una società del controllo e della sorveglianza. Per proteggere la nostra privacy è opportuno adottare un modello di autodifesa digitale (privacy threat model) adeguato al nostro profilo di rischio. Se sei arrivato su questa pagina e stai leggendo questo blog allora hai già fatto il primo passo: puoi far parte anche tu del nostro gruppo di #gentesicura . Per sviluppare un modello di autodifesa digitale occorre farsi alcune domande: che tipo di informazioni voglio proteggere? Da chi le voglio nascondere? Quale sarebbe l'impatto sulla mia vita se queste informazioni venissero scoperte? Oggi una delle minacce più gravi è certamente rappresentata dai sistemi di videosorveglianza e dai loro algoritmi di riconoscimento facciale. Probabilmente in qualche banca dati digitale è già presente una vostra foto collegata al vostro nome e cognome. Anche se non è detto che questo database sia pubblico, è sempre buona norma fare una ricerca