Con l’entrata in vigore del GDPR tutte le aziende dovranno dotarsi di questa figura professionale

Digital privacy: il 38,3% degli italiani rinuncerebbe ai social

Secondo il nuovo Regolamento europeo 2016/679 per la protezione e libera circolazione dei dati personali, il cosiddetto GDPR, che entrerà in vigore il 25 maggio 2018, le aziende di tutti i 28 Stati UE dovranno dotarsi di una nuova figura professionale: il Data Protection Officer.

Chi è e quali responsabilità avrà in azienda e perché molte imprese saranno obbligate ad averne uno?

SB Italia, società specializzata in soluzioni IT per la gestione, l’integrazione e l’ottimizzazione dei processi aziendali, illustra cosa cambierà per le aziende in tema di sicurezza e di gestione dei dati.

Il nuovo Regolamento comporta parecchi cambiamenti organizzativi, con l‘adozione e l’implementazione di un vero e proprio Sistema di Gestione dei Dati Personali: tale Sistema dovrà tenere conto di alcuni nuovi principi quali, ad esempio, il nuovo “Diritto all’Oblio” o la nuova figura del Data Protection Officer. Tuttavia, va osservato che i nuovi adempimenti riguarderanno in massima parte soltanto le organizzazioni con più di 250 dipendenti, oppure aziende che trattano dati sensibili, quali quelli, ad esempio, relativi allo stato di salute. Per tutte le altre, l’impatto sarà relativamente “indolore”.

Sarà obbligatorio inserire in organico il manager della data protection per tre categorie di soggetti: gli enti pubblici, i soggetti che trattano dati personali su larga scala, come ad esempio banche o compagnie assicurative, e i titolari che effettuano un “monitoraggio regolare e sistematico” dei dati, ad esempio le società che gestiscono le carte di fidelizzazione. Il Data Protection Officer di fatto, avrà solo funzioni di puro controllo ma, qualora ravvisi delle potenziali carenze in quelli adottati dall’organizzazione, potrà suggerire l’adozione di misure di “mitigazione del rischio” come, ad esempio, sistemi IT più sicuri.

Curiosamente, non risponderà all’organizzazione stessa: essendo chiamato a tutelare gli interessi dei soggetti i cui dati vengono trattati dall’organizzazione (e non quelli dell’organizzazione stessa) è una sorta di “poliziotto” della privacy. Per questo non potrà ricevere alcuna istruzione dall’organizzazione, né subire alcun tipo di controllo da parte di essa”, chiarisce Corrado Dati, ITSM Business Unit Manager di SB Italia.

La norma non pone requisiti particolarmente rigidi per ricoprire l’incarico: infatti esso può essere svolto, salvo situazioni di incompatibilità derivanti da problemi di conflitto d’interessi, anche da soggetti interni all’impresa. L’unico requisito fondamentale riguarda la “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”. Con questo s’intende, generalmente, una buona conoscenza della normativa primaria, cioè le leggi, nazionali ed europee, gli eventuali provvedimenti del Garante della Privacy, nonché una discreta familiarità con le tecnologie informatiche e le misure di sicurezza in materia di trattamento dei dati. Chi non la possiede e intende ricoprire tale incarico, ovviamente, dovrà essere formato ad hoc. Al DPO compete la sorveglianza dell’osservanza delle regole, la cooperazione con l’autorità di controllo e ha l’obbligo di informare chi, in azienda, gestisce il trattamento dei dati su una eventuale non conformità dei sistemi adottati.

Questo è il punto che desta maggiori perplessità della normativa: può una figura del genere, con tutti gli obblighi di subordinazione previsti dalla legge, essere davvero in una posizione di assoluta indipendenza nel proprio giudizio verso l’azienda di cui è dipendente?”, continua Corrado Dati. “A nostro avviso quindi, per adeguarsi al meglio alle nuove disposizioni normative, affidarsi ad un partner competente rappresenta la via più corretta e sicura per poter affrontare e gestire al meglio, senza rischi, questo nuovo scenario”.