Usa il mouse, frecce o sfoglia se touch
   numero di 12/07/2017
Fare Business

Data Protection Officer: arriva in azienda il poliziotto della privacy
Dati (SB Italia): avrà solo funzioni di puro controllo e potrà suggerire l'adozione di misure di "mitigazione del rischio" come, ad esempio, sistemi IT più sicuri. Ma potrà essere veramente indipendente?

Una nuova figura professionale di cui le aziende dovranno a breve dotarsi: il Data Protection Officer. Chi è e quali responsabilità avrà in azienda e perché molte imprese saranno obbligate ad averne uno? La figura del DPO sarà obbligatoria per tutti i 28 Stati UE dal 25 maggio 2018: la richiede il nuovo Regolamento europeo 2016/679 per la protezione e libera circolazione dei dati personali, il cosiddetto GDPR.
Vediamo quali saranno i principali cambiamenti per le aziende in tema di sicurezza e di gestione dei dati secondo SB Italia, società specializzata in soluzioni IT per la gestione, l'integrazione e l'ottimizzazione dei processi aziendali.

Cosa cambia

Il nuovo Regolamento comporta parecchi cambiamenti organizzativi, con l?adozione e l'implementazione di un vero e proprio Sistema di Gestione dei Dati Personali: tale sistema dovrà tenere conto di alcuni nuovi principi quali, ad esempio, il nuovo "Diritto all'Oblio" o la nuova figura del Data Protection Officer. Tuttavia, va osservato che i nuovi adempimenti riguarderanno in massima parte soltanto le organizzazioni con più di 250 dipendenti, oppure aziende che trattano dati sensibili, quali quelli, ad esempio, relativi allo stato di salute. Per tutte le altre, l'impatto sarà relativamente "indolore".

Chi è il DPO e cosa farà

Sarà obbligatorio inserire in organico il manager della data protection per tre categorie di soggetti: gli enti pubblici, i soggetti che trattano dati personali su larga scala, come ad esempio banche o compagnie assicurative, e i titolari che effettuano un "monitoraggio regolare e sistematico" dei dati, ad esempio le società che gestiscono le carte di fidelizzazione.
Il Data Protection Officer di fatto, avrà solo funzioni di puro controllo ma, qualora ravvisi delle potenziali carenze in quelli adottati dall'organizzazione, potrà suggerire l'adozione di misure di "mitigazione del rischio" come, ad esempio, sistemi IT più sicuri.
"Curiosamente, non risponderà all'organizzazione stessa: essendo chiamato a tutelare gli interessi dei soggetti i cui dati vengono trattati dall'organizzazione (e non quelli dell'organizzazione stessa) è una sorta di "poliziotto" della privacy. Per questo non potrà ricevere alcuna istruzione dall'organizzazione, né subire alcun tipo di controllo da parte di essa", chiarisce Corrado Dati, ITSM Business Unit Manager di SB Italia.
La norma non pone requisiti particolarmente rigidi per ricoprire l'incarico: infatti esso può essere svolto, salvo situazioni di incompatibilità derivanti da problemi di conflitto d'interessi, anche da soggetti interni all'impresa. L'unico requisito fondamentale riguarda la "conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati". Con questo s'intende, generalmente, una buona conoscenza della normativa primaria, cioè le leggi, nazionali ed europee, gli eventuali provvedimenti del Garante della Privacy, nonché una discreta familiarità con le tecnologie informatiche e le misure di sicurezza in materia di trattamento dei dati. Chi non la possiede e intende ricoprire tale incarico, ovviamente, dovrà essere formato ad hoc.

Al DPO compete la sorveglianza dell'osservanza delle regole, la cooperazione con l'autorità di controllo e ha l'obbligo di informare chi, in azienda, gestisce il trattamento dei dati su una eventuale non conformità dei sistemi adottati.
"Questo è il punto che desta maggiori perplessità della normativa: può una figura del genere, con tutti gli obblighi di subordinazione previsti dalla legge, essere davvero in una posizione di assoluta indipendenza nel proprio giudizio verso l'azienda di cui è dipendente?", continua Dati. "A nostro avviso quindi, per adeguarsi al meglio alle nuove disposizioni normative, affidarsi ad un partner competente rappresenta la via più corretta e sicura per poter affrontare e gestire al meglio, senza rischi, questo nuovo scenario".



Fare Business


Condividi su LinkedIn numero di 12/07/2017
Torna al SOMMARIO








SEGUICI