Data Protection Officer (DPO): chi è costui?
È una figura professionale che dovrà essere nota, dal momento che il nuovo Regolamento UE n° 2016/679 per la protezione e libera circolazione dei dati personali, il cosiddetto GDPR, che entrerà in vigore dal 25 maggio 2018, la richiederà.
A dover ricorrere a questa figura professionale saranno quelle imprese, pubbliche o private, che svolgono trattamenti sui dati e che, per questo motivo, sono potenzialmente in grado di ledere gravemente i diritti degli interessati proprietari dei dati stessi.
Così prevede il GDPR, un insieme di disposizioni, che sono state scritte allo scopo di armonizzare la protezione dei dati sensibili fra tutti gli stati membri dell’UE, senza limitazione di applicazione al territorio europeo.
Pare, però, che questo soggetto sia ancora sconosciuto alla maggior parte delle aziende.
Alcuni studi hanno messo in evidenza, per esempio, come diverse organizzazioni attribuiscano la funzione di DPO al proprio IT manager, andando contro le indicazioni UE.
Quali le conseguenze?
Sanzioni pesanti e conflitto di interessi e incompatibilità fra ruoli.
Come va individuata, quindi, questa figura?
Gli elementi fondamentali che dovranno caratterizzare il DPO sono:
– posizione “super partes” rispetto all’area IT ed ai relativi processi decisionali in azienda,
– competenze giuridiche ed informatiche,
– capacità di realizzare una completa analisi dei rischi connessi al trattamento dei dati,
– capacità di valutare le interazioni con le altre aree aziendali (es. commerciale, amministrativa, ecc.), che hanno a che vedere, anche se indirettamente, con la sicurezza e la gestione delle informazioni.
Il 25 maggio 2018 sembra lontano, ma nove mesi potrebbero non bastare alle aziende per prepararsi nel modo giusto. Più del 50% delle imprese oggi sono in ritardo e potrebbero faticare a mettersi al passo con le nuove regole in arrivo.
Qualche altro numero?
Secondo un’indagine condotta da SailPoint, l’80% degli intervistati considera il nuovo GDPR prioritario per l’azienda, ma soltanto il 25% ha già fatto un piano per adeguarsi.
Il cuore del nuovo GDPR è l’obbligo di notificare la perdita di dati, in base al quale le imprese devono notificare il data-breach (Violazioni di dati personali) entro 72 ore dalla scoperta. Ciò significa che le imprese hanno soltanto tre giorni di tempo per individuare e definire la portata della “falla” nel loro sistema, e per capire se dati sensibili sono andati persi e in quale misura.
La mancata notifica del data-breach nei tempi stabiliti implica il rischio di multa salatissima, fino a 20 milioni di euro o al 4% del fatturato globale dell’azienda, indipendentemente dall’ammontare.
È per questo che le aziende dovranno prendere in considerazione seriamente il problema dei dati che raccolgono e del modo in cui li proteggono. Il principio base da seguire è semplice: “se non hai bisogno di un’informazione, non farne domanda e, per ragioni di sicurezza, non raccogliere informazioni inutili”.
Per molte imprese ciò vorrà dire affidarsi a partner esterni, specializzati in raccolta e trattamento dati, per evitare spiacevoli sorprese.
Il consiglio degli esperti rivolto alle aziende in cerca di Data Protection Officer è forte e chiaro: occorre informarsi subito, anche per poter eventualmente rimediare e rivalutare le scelte fatte fino ad oggi.
Fonti: Sole24Ore, Gianni Rusconi – 7 Aprile 2017, Paolo Anastasio, Key4biz.com – 25 maggio 2017 ed Emanuele Testolin, www.idataprotection.eu
