Responsabile della protezione dati (DPO): da un grande potere derivano grandi responsabilità

Responsabile della protezione dati (DPO): da un grande potere derivano grandi responsabilità

Il Regolamento generale sulla protezione dei dati (GDPR) entrerà in vigore tra poco meno di un anno; le società stanno iniziando ad attivarsi per raggiungere la conformità e alcune devono nominare un responsabile della protezione dati, o DPO.

 

Non entrerà in vigore prima del 25 maggio 2018, ma il Regolamento generale sulla protezione dei dati ha già subito un'infinità di modifiche nel corso della sua relativamente breve vita. Sanzioni per violazione dei dati, notifiche di sicurezza e consenso relativo ai dati personali sono già stati tutti ottimizzati nel corso delle discussioni dei legislatori europei; uno degli aspetti chiave a sua volta oggetto di modifiche è l'obbligatorietà del DPO.

In origine, il Regolamento generale sulla protezione dei dati indicava che tutte le società con oltre 250 dipendenti erano tenute ad assumere un DPO, ma questo requisito è stato stralciato dall'ultima versione del regolamento.  Al momento, il numero di aziende che necessitano di assumere un DPO è molto inferiore, laddove la sezione 37 (1) del Regolamento indica che questa figura è strettamente richiesta per pubbliche autorità o imprese cui vengono elaborate "categorie particolari di dati".

Gli esperti ritengono tuttavia che sia possibile migliorare l'approccio al Regolamento generale sulla protezione dei dati nominando un DPO. Inoltre, considerando che il Regolamento generale sulla protezione dei dati riguarda ogni organizzazione che elabora dati personali per i cittadini UE, sarebbe ora che tutti si occupassero di questo tema.

Daniel Hedley, Senior Associate di Irwin Mitchell LLP, spiega: "La maggior parte delle organizzazioni non sarà tenuta a nominare un DPO perché, sostanzialmente, il Regolamento generale sulla protezione dei dati lo rende obbligatorio solo per enti pubblici che monitorano persone sistematicamente su vasta scala oppure che elaborano, sempre su vasta scala, determinate categorie di dati, quali informazioni sulla salute o sulla fedina penale".

Chi ha bisogno di un DPO?

Gli enti pubblici comprendono quelli che si occupano di sanità, istruzione, servizi di emergenza e organizzazioni non governative; tutte queste entità sono tenute a nominare un DPO dedicato, con specifiche competenze e funzioni definite dal nuovo regolamento. Ciò è probabile che varrà anche per società private che svolgono funzioni pubbliche o che offrono servizi pubblici quali fornitura d'acqua, trasporti pubblici, energia e alloggi.

Nel caso delle imprese private la cui attività primaria consiste nell'esecuzione sistematica su vasta scala del monitoraggio o dell'elaborazione dei dati, questo obbligo potrebbe sussistere nel caso in cui si occupino di pubblicità comportamentale, tracking online, CCTV e addirittura gestione di programmi di fidelizzazione. Inoltre vale la pena sottolineare che la definizione si applica a processi e pratiche, sia digitali sia offline, con cui il DPO dovrà avere dimestichezza.

Hedley aggiunge: "Il Regolamento generale sulla protezione dei dati è un tema legislativo complesso, e il tipo di dati elaborati è un elemento vitale da considerare quando si tratta di conformità.

"Ciò significa che in ogni organizzazione qualcuno dovrà essere investito di questa responsabilità, e nella mia esperienza, i team legali e IT nelle organizzazioni sono già così oberati di lavoro che difficilmente potranno svolgere ulteriori mansioni senza alcun tipo di aiuto".

Peter Gooch, partner per i servizi relativi al rischio informatico presso Deloitte UK, aggiunge: "Le organizzazioni devono considerare in modo più proattivo le modalità di gestione della protezione della privacy e dei dati. Nonostante ora i DPO siano richiesti per la maggior parte delle organizzazioni, non è tassativo il fatto che si tratti di risorse dedicate o addirittura interne.

Prosegue: "Le organizzazioni devono prendere in considerazione il modo in cui adempiono ai loro obblighi relativi al Regolamento generale sulla protezione dei dati in modo più ampio, utilizzando ad esempio una rete di esperti della privacy, un team centrale o addirittura consulenti esterni. Quello che importa è che le risorse disponibili siano adeguatamente qualificate e proporzionate al profilo di rischio".

Conformità e formazione

Nei casi in cui il DPO sia obbligatorio, il ruolo si differenzia da altre funzioni incentrate sull'IT e sulle informazioni, quali il CIO o il direttore dell'IT, figure che si occupano di aspetti commerciali e strategici della tecnologia, il CISO, che ha competenze relative alla sicurezza, o il Chief Data Officer, o CDO, che a sua volta si occupa degli aspetti più tecnologici.

Il DPO, invece, dovrà lavorare tra i diversi reparti aziendali per informare i dipendenti sull'obbligo di conformarsi al Regolamento generale sulla protezione dei dati e altre leggi relative. Sarà anche responsabile del monitoraggio della conformità, fornendo corsi di formazione e audit interni, oltre a consulenza in materia di valutazioni dell'impatto sul rischio della protezione dei dati.

È importante sottolineare che i DPO dovranno rendersi disponibili per le autorità di regolamentazione in caso di indagini in materia di protezione dei dati, che vanno dal ritiro del consenso al diritto all'oblio, definito anche come "diritto alla cancellazione".

Nel caso in cui l'azienda sia responsabile del trattamento dati, sarà anche tenuta a segnalare alle autorità le violazioni della sicurezza entro 72 ore dal rilevamento di tali violazioni, o fornire una "giustificazione motivata" per qualsiasi ritardo nella segnalazione, nonché informare i clienti interessati (ufficialmente noti come "interessati") quando appropriato. Gli incaricati del trattamento dei dati devono informare il responsabile del trattamento dati.

Nell'ambito della notifica, il DPO deve "almeno" descrivere la natura della violazione dei dati personali, le possibili conseguenze e in che modo intende gestire la violazione.

Un'ampia gamma di responsabilità 

Neira Jones, esperta e consulente indipendente in materia di sicurezza digitale, commenta che il DPO ha una gamma molto vasta di responsabilità.

Secondo questa esperta, "il DPO è responsabile dell'applicazione di criteri, dell'assegnazione di responsabilità, della formazione e audit del personale e della collaborazione con le autorità competenti. Deve avere una buona comprensione della sicurezza digitale/informatica, della protezione dei dati e della privacy dei dati, nonché delle leggi applicabili", ovvero il Regolamento generale sulla protezione dei dati, il DPA, l'e-Privacy, il NIS, l'EU-US Privacy Shield e, per i servizi finanziari, il PSD2/AML.

Aggiunge inoltre che "deve avere una buona comprensione della catena di approvvigionamento nel settore in cui opera l'organizzazione e dovrebbe avere anche cognizioni di diritto contrattuale, oltre a essere un ottimo comunicatore e negoziatore, ovvero deve essere molto versatile. Chi vorrebbe fare un lavoro così? Ma nell'Unione Europea saranno necessari 28.000 DPO per soddisfare i requisiti delle normative, quindi le opportunità di lavoro sono moltissime".

In realtà, il DPO ha una posizione privilegiata e dispone di importanti vantaggi. Per esempio, il DPO viene nominato per un periodo di almeno quattro anni, oppure di due anni se è un consulente esterno. Gli è espressamente concesso un significativo margine di autonomia nelle sue funzioni di lavoro e può svolgere altre attività e funzioni che non generino tuttavia conflitti di interesse.

In aggiunta, deve poter accedere ai più alti livelli di gestione e deve poter usufruire di adeguate risorse aziendali per soddisfare i requisiti dettati dal Regolamento generale sulla protezione dei dati e per la formazione continua. Deve essergli consentito di operare indipendentemente da eventuali istruzioni e non può essere ignorato o licenziato in seguito allo svolgimento delle sue funzioni.

I vantaggi per il business del DPO

Nonostante gli obblighi, le aziende traggono anche vantaggio dalla nomina e dalla consulenza di un DPO, afferma Daniel Hedley, della Irwin Mitchell LLP, il quale aggiunge inoltre che "poiché il compito fondamentale di un DPO è quello di essere l'esperto in materia di diritto dei dati interno e il primo punto di contatto con soggetti interessati e autorità di regolamentazione, le attività basate su tecnologia o dati di qualsiasi dimensione o complessità credo troveranno vantaggiosa la nomina di un DPO, non solo in termini di un suo impegno interno per raggiungere la conformità ma anche per comunicare chiaramente ai clienti che la conformità viene presa sul serio".

Elliott Haworth, redattore di articoli su tematiche economiche per City AM, specializzato nel Regolamento generale sulla protezione dei dati, aggiunge che "avere qualcuno a livello dirigenziale in grado di comprendere gli aspetti tecnici del regolamento, ovvero ciò che costituisce le procedure consigliate, come reagire in caso di violazione o rispondere a richieste di accesso ai dati, può essere utile quando il Regolamento generale sulla protezione dei dati sarà legge il prossimo anno".

Il DPO occuperà inoltre una posizione privilegiata per aiutare le aziende a individuare e valutare nuove opportunità commerciali che utilizzano le risorse di dati, ad esempio identificando nuovi flussi di reddito o aiutando i reparti aziendali strutturati a silos a condividere i dati in modo reciprocamente vantaggioso.

Di conseguenza, mentre alcune organizzazioni sono tenute ad avere un DPO, altre potrebbero ottenere vantaggi in vista dell'entrata in vigore del Regolamento generale sulla protezione dei dati nominando un DPO in autonomia.

 

Proprietà dei dati Responsabile della protezione dei dati (DPO) Violazione dei dati

Condividi con noi la tua opinione e partecipa alla discussione su LinkedIn!

SOTTOSCRIZIONE

Iscrivetevi per ricevere gli aggiornamenti di GDPR & Beyond