GDPR compliance: se e come scegliere il DPO (Data Protection Officer)



La scadenza del 25 maggio 2018 si sta avvicinando a grandi passi e presto la compliance al GDPR sarà in cima alle priorità di molte aziende private ed enti pubblici. La domanda che molti si porranno allora sarà da che parte bisogna cominciare. Al primo posto della check-list c'è la scelta del DPO, il Data Protection Officer o se volete il responsabile della protezione dei dati nella traduzione italiana del testo di legge è la figura chiave per assicurare la compliance al nuovo regolamento europeo sui dati personali. Non è però sempre chiaro come questa figura debba essere scelta e quali debbano essere le sue mansioni. Recentemente il Garante dei Dati Personali, con newsletter del 15 settembre 2017, n. 432, si è espresso sui requisiti del Data Protection Officer, ribadendo che una certificazione anche se utile non è assolutamente obbligatoria, né dovrà essere costituito un apposito albo professionale. Allora vediamo quali dovranno essere i suoi compiti ed i criteri in base ai quali scegliere il DPO.

Il ruolo primario del DPO sarà quello di consigliare il Titolare ed il Responsabile del trattamento dei dati personali nell'identificare i rischi derivanti dal trattamento dei dati, quindi un'ottima conoscenza della normativa vigente in materia di privacy e trattamento dei dati personali è un requisito essenziale. In secondo luogo il DPO dovrà fungere da punto di contatto tra l'azienda pubblica o privata che sia e l'autorità garante, inoltre dovrà essere il referente ultimo dell'azienda circa tutte le richieste degli interessati in materia al trattamento dei loro dati personali. Ai sensi dell'art. 13 del regolamento, l'informativa affinché sia valida deve contenere i riferimenti del DPO (telefono, email). L'art. 39 del Regolamento europeo spiega al punto b) quelli che dovranno essere i compiti principali del responsabile della protezione dei dati:
"Sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo"
Nel dettaglio questi compiti comprenderanno:
  • Informare il titolare, il responsabile e gli incaricati sui loro obblighi in materia di trattamento dei dati personali.
  • Sorvegliare la conformità alla normativa vigente ed alle rispettive responsabilità.
  • Occuparsi della formazione del personale sulla consapevolezza legata al rischio privacy.
  • Se richiesto fornire consulenza nella redazione della Privacy Impact Assesment (PIA) e svolgere azioni di sorveglianza sul rispetto delle sue indicazioni all'interno dell'azienda magari operando delle verifiche a campione.
  • Interfacciarsi in caso di necessità con le autorità garanti facendo da punto di contatto tra l'azienda e le istituzioni di garanzia.
Inoltre il regolamento stabilisce che il DPO nell'ambito del suo mandato debba poter interloquire con le figure apicali del management aziendale e debba avere a disposizione il budget necessario per portare avanti i suoi compiti istituzionali come per esempio quello di garantire la formazione del personale sulla consapevolezza del rischio privacy. 

Chiaramente si tratta di un ruolo chiave in qualsiasi organigramma aziendale. 

Quando è necessario dotarsi di un DPO?

Anche qui il regolamento europeo è molto chiaro: il DPO è necessario allorquando il trattamento dei dati è compiuto da un organismo pubblico, quando viene eseguito un trattamento dei dati su larga scala o quando il trattamento riguarda particolari categorie di dati come per esempio i dati relativi alla salute o i dati genetici di un centro di ricerche mediche, i dati relativi all'origine etnica, alle convinzioni politiche o religiose degli interessati. Sebbene il regolamento non stabilisca cosa si intenda per trattamento di dati su larga scala, possiamo assumere che una banca, un'assicurazione, un motore di ricerca che esegua la profilazione degli utenti in rete siano da considerarsi trattamenti su larga scala.

Quindi abbiamo visto che in molti casi sarà necessario dotarsi di un DPO ma quali sono allora i criteri in base ai quali operare questa scelta. Se dovessimo stilare una lista degli skill necessari per la selezione della giusta figura professionale inserirei queste caratteristiche:
  • Conoscenza della normativa nazionale in materia di privacy e trattamento dei dati personali, conoscenza del nuovo regolamento europeo sui dati personali.
  • Conoscenza del ciclo di vita del dato digitale e della relative procedure di sicurezza.
  • Conoscenza dello specifico settore di attività e del contesto nel quale è impegnato l'ente di appartennza: il DPO deve conoscere l'azienda.
  • Buone doti di comunicazione personale e di leadership.
Non è necessario che il DPO sia un giurista né un informatico pur dovendo conoscere materie di entrambi questi ambiti disciplinari. Molto importante che sia un buon organizzatore.

Per molte piccole aziende potrebbe essere complesso scegliere una figura del genere, in questo caso è possibile unirsi ad altre aziende nello stesso ambito merceologico e condividere questa figura professionale.

Quando NON è necessario dotarsi di un DPO?

Il regolamento europeo non richiede che ogni singola organizzazione debba dotarsi di un DPO quindi vediamo quando questo non è necessario:
  • Quando salvo qualche rara eccezione l'azienda non effettua profilazione degli utenti.
  • Quando l'azienda non tratta particolari categorie di dati quali dati relativi alla salute, dati genetici, dati relativi alle opinioni politiche, religiose, alle preferenze sessuali degli interessati. In pratica quando tratta dati comuni.
  • Quando non effettua trattamenti di dati su larga scala, ma piccole basi di dati per la propria attività aziendale.
In tutti questi casi non è necessario dotarsi di un DPO.

Per maggiori informazioni:

Se avete trovato interessante questo articolo e ne volete approfondire degli aspetti potete contattarmi al seguente indirizzo e-mail: privacyofficer@bigazzi.it






Commenti

Posta un commento

Post popolari in questo blog

Whistleblower: storia e quadro giuridico di riferimento

Immagine
Disegno tutorial di Edward Snowden È uscita in queste settimane l'autobiografia di Chelsea Manning dal titolo README.txt , il nome che l'analista junior dell'intelligence dell'esercito americano aveva dato al file di testo che accompagnava il materiale di quello che diventerà il più grande leak nella storia degli Stati Uniti. Per chi non conoscesse i suo caso giudiziario, Chelsea Manning è stata la più grande whistleblower della storia, durante il suo servizio in Iraq rilasciò attraverso la piattaforma  WikiLeaks circa 750.000 documenti classificati contribuendo ad influenzare in maniera determinante la percezione dell'opinione pubblica sull'andamento della guerra in Iraq. Per questo atto Chelsea fu condannata a 35 anni di reclusione essendo stata ritenuta colpevole di reati connessi alla diffusione di notizie coperte da segreto e al possesso di software non autorizzati, pena poi commutata dal presidente Obama alla fine del suo mandato. In quattrocento pagine
Continua a leggere »

Cancellazione sicura: la sanificazione dei dati informatici

Immagine
La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua
Continua a leggere »

Sui cookie ci stiamo giocando la libertà di espressione?

Immagine
Frame dal film Brazil di Terry Gilliam, 1985 La recente decisione del Board dei Garanti della privacy dell'Unione Europea di impedire a Meta la possibilità di richiedere agli utenti di accettare annunci personalizzati sulla loro esperienza di navigazione è solo l'ultimo, in ordine di tempo, di una serie di provvedimenti che rischiano di disarticolare un modello di business che, nel bene e nel male, ha fino ad oggi caratterizzato il nostro rapporto con la rete. Quale è questo modello di business? Sulla base di una efficace logica win-win, io publisher ti fornisco contenuti di qualità, tu utente nell'usufruire di questi contenuti riceverai delle inserzioni pubblicitarie che per essere efficaci dovranno avere un qualche rapporto con gli argomenti che stai ricercando. In questa maniera io publisher riesco a monetizzare il traffico per fare fronte ai miei costi editoriali e offrirti un prodotto sempre migliore, tu utente non paghi niente. Questo meccanismo poggia proprio sui fam
Continua a leggere »