Chi dovrebbe gestire il progetto GDPR?

Chi dovrebbe gestire il progetto GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) entrerà in vigore a partire dal maggio 2018 e le imprese avranno a disposizione meno di anno per garantire la conformità. Molte aziende sono preoccupate per questo regolamento, il quale prevede sanzioni per chi non garantisce la conformità e per eventuali violazioni della sicurezza dei dati.

Attorno al tema del GDPR esiste molta confusione, sia sul significato del regolamento sia sull'ambito di applicazione, mentre un'area particolarmente poco chiara riguarda quali dovrebbero essere all'interno delle aziende i soggetti responsabili dei problemi correlati al regolamento.

Per alcuni, la responsabilità del GDPR dovrebbe ricadere sul responsabile informazioni e comunicazione (CIO, Chief Information Officer), mentre per altri dovrebbe riguardare il responsabile della sicurezza di informazioni e comunicazione (CISO, Chief Information Security Officer), a causa dei rigorosi requisiti di sicurezza richiesti. Altri ancora pensano che l'amministratore delegato e il consiglio di amministrazione siano i principali responsabili della conformità, mentre alcuni professionisti IT suggeriscono che la figura emergente del responsabile dati (CDO, Chief Data Officer) potrebbe giocare un ruolo significativo.

Il concetto di responsabilità rappresenta il nucleo del nuovo regolamento sulla protezione dei dati, il quale sostituisce Direttiva sulla protezione dei dati del 1995. Pertanto, quale soggetto all'interno dell'azienda dovrebbe assumersi la responsabilità della gestione del GDPR?

Secondo gli esperti, tutte le persone all'interno dell'azienda sono responsabili, di conseguenza i dipendenti senior dell'azienda, quali il responsabile della protezione dei dati (DPO, Data Protection Officer), il responsabile dei dati (CDO, Chief Data Officer), il CIO e il CISO, devono collaborare per assicurare un percorso verso la conformità senza problemi.

Allo stesso tempo, è necessaria anche una figura che gestisca il progetto, data l'importanza della presenza di una forte leadership, come afferma Duncan Brown, vice presidente associato, European Security Practice, presso IDC EMEA.

Inoltre, per Brown "a volte ciò si riduce alla semplice candidatura di qualcuno che sente come necessario il suo contributo".

È necessario che gli sforzi per la conformità al GDPR vengano gestiti direttamente dai dirigenti, poiché le aziende non possono ottenere la piena conformità senza il coinvolgimento del consiglio di amministrazione. Dopotutto, la responsabilità finale ricade proprio sul consiglio di amministrazione, almeno secondo Saurabh Ghelani, esperto di trust digitale e GDPR presso PA Consulting Group.

Ghelani sostiene la necessità di un team di leadership che coinvolga più funzioni e che comprenda rappresentanti senior provenienti da tutte le aree aziendali, incluse le aree di marketing, servizio clienti e procurement, aggiungendo che "ciò garantirà il successo dell'implementazione del GDPR".

Responsabile della protezione dei dati (DPO)

Una parte del GDPR indica che alcune aziende dovranno disporre di un responsabile della protezione dei dati (DPO) entro il maggio 2018. Ciò ha fatto ritenere ad alcune aziende che il DPO dovrà assumere la responsabilità di ogni aspetto del GDPR.

Ma la realtà è leggermente diversa. Secondo il GDPR, il ruolo del DPO consiste nell'assicurare il rispetto del regolamento, almeno secondo Tim Grieveson, responsabile dei sistemi di sicurezza e informatici per l'area EMEA presso Micro Focus, il quale afferma: "Tutti, dai membri del consiglio di amministrazione fino ai livelli inferiori, hanno la responsabilità della conformità al GDPR nel trattamento dei dati dei cittadini".

In aggiunta, secondo Brown il ruolo di DPO non è adatto a sovrintendere a tutte le decisioni relative al GDPR: "La natura di un DPO non è quella di responsabile delle decisioni relative all'elaborazione dei dati, ad esempio scegliendo quale software utilizzare. Questi deve infatti rappresentare il custode delle elaborazioni interne, pertanto non ha il ruolo di colui che deve prendere tali decisioni".

Prendendo in considerazione ciò, secondo Ghelani l'implementazione del GDPR non è quindi un'attività che debba essere svolta da un uomo solo.

"L'incorporamento del GDPR non è sola responsabilità del DPO, poiché rappresenta anche un argomento relativo all'organizzazione e necessita di supporto da parte di tutte le funzioni essenziali".

Ghelani aggiunge inoltre: "Il DPO o le funzioni legali o relative alla conformità potrebbero inizialmente gestire il GDPR. Tuttavia, le parti interessate all'interno dell'ecosistema dei dati personali giocano un ruolo uguale nel progetto poiché questo influirà sui loro ruoli e sulle loro attività".

Secondo Ghelani, se un'azienda non ha ancora nominato un DPO, la responsabilità della gestione del progetto GDPR dovrà ricadere su un rappresentante della gestione senior che disponga delle caratteristiche di "autorevolezza, mandato e visibilità lungo l'intera azienda".

Secondo lui, questa figura può essere potenzialmente rappresentata dal COO o dall'amministratore delegato. Questo tipo di ruolo può consentire di sfruttare una rete che attraversa l'intera azienda allo scopo di implementare il GDPR nel modo più efficace ed efficiente.

La gestione del GDPR

La persona che deve guidare la gestione del progetto GDPR dovrà essere scelta anche in base alle diverse esigenze aziendali. Di conseguenza, è importante valutare come l'organizzazione vede il GDPR. Secondo Brown, ciò "dipende dall'approccio al GDPR e dal settore in cui opera un'azienda". Ad esempio: “Per le organizzazioni più conservatrici in termini di spesa IT e rischio aziendale, la gestione potrebbe essere svolta nel modo migliore dai reparti legali".

D'altra parte, un'azienda potrebbe vedere la conformità al GDPR come un dato positivo, nel cui caso potrebbe essere presentato come un punto di differenziazione, come nell'esempio di un'azienda norvegese di database di marketing che si occupa di dati personali.

Secondo Brown, "la natura stessa dell'attività svolta significa che l'azienda è sotto una minaccia sostanziale del GDPR". "Ma poiché la persona che gestisce il programma è il capo dell'area marketing, ha intuito che se il GDPR viene applicato nel migliore dei modi, questo regolamento potrebbe essere presentato come un vantaggio competitivo".

Brown cita inoltre l'esempio di una società belga che si occupa di dati personali sensibili. "Se dovessero perderli, verrebbero espulsi dal mercato. La persona che gestisce il programma è l'amministratore delegato, poiché riguarda direttamente la strategia aziendale di base".

Nel complesso, secondo Brown non è molto importante chi gestisce il programma a patto che vi sia un soggetto incaricato della sua gestione, aggiungendo che "chiunque lo gestisca, si deve trattare di un progetto che riguarda tutti i reparti".

Grieveson concorda sul fatto che si tratta di lavorare assieme attraverso tutti i reparti e consiglia di "mobilitare una forza lavoro più ampia e non solo il CIO e il team IT, coinvolgendo marketing, rischio e conformità, dato che il GDPR è responsabilità di tutti".

Una volta scelto qualcuno per gestire il progetto GDPR e coinvolta l'intera azienda, è necessario prendere in considerazione anche la formazione e l'istruzione del personale. Secondo Grieveson, la formazione dovrebbe essere adattata al tipo di reparto, poiché "non esiste una soluzione unica per tutti".

Per Brown, attraverso l'intera azienda è necessario che tutti siano al corrente delle proprie responsabilità e delle conseguenze delle proprie azioni. "A vari livelli, siamo tutti responsabili della conformità. Le aziende devono assicurarsi che tutti i membri del personale siano al corrente di ciò".

Brown aggiunge inoltre che "le aziende tendono a inviare il personale a corsi di formazione sulla sicurezza informatica una volta all'anno". "Ma ciò non è sufficiente poiché si deve trattare di un processo continuativo".

Grieveson consiglia alle aziende di rivolgersi a partner con esperienza quali Micro Focus: "Il nostro progetto di percorso verso un'offerta di valore può essere utilizzato per riunire più reparti per garantire la conformità al GDPR".

Per Grieveson, "molte aziende non saranno conformi entro il maggio 2018". "La cosa migliore da fare è pertanto considerare quella data come l'inizio dell'applicazione del regolamento e continuare a sviluppare un approccio alla privacy che maturi con il cambiamento della propria azienda".

Responsabile della conformità dei dati (CCO) Responsabile della protezione dei dati (DPO) Responsabile della sicurezza di informazioni e comunicazione (CISO)

Condividi con noi la tua opinione e partecipa alla discussione su LinkedIn!

SOTTOSCRIZIONE

Iscrivetevi per ricevere gli aggiornamenti di GDPR & Beyond