Le lancette dell’orologio corrono velocemente verso maggio del prossimo anno, quando entrerà in vigore una importante riedizione delle leggi europee sulla protezione dei dati. Il regolamento generale sulla protezione dei dati (GDPR) si applica in tutti gli Stati membri dell’Unione europea (compreso il Regno Unito, pre- e, quasi certamente, post Brexit).
E’ stato scritto molto sulle sanzioni per le infrazioni (fino a 20 milioni di euro o al 4% del fatturato globale annuale di un’organizzazione) e sulle modifiche a concetti come il consenso, la responsabilità e i diritti dei soggetti dei dati, ma ciò che forse è stato trascurato è che esso introdurrà una base giuridica per un ruolo che fino ad oggi ha avuto solo uno status informale – il data protection officer (DPO).
Fino ad ora, in gran parte dell’Europa e del resto del mondo, il ruolo del DPO è stato in gran parte indefinito. Il quadro europeo per la protezione dei dati è in vigore da una direttiva UE del 1995.
A quel tempo “i dati” erano quasi esclusivamente osservati in un contesto di calcolo e le prime persone a cui era stato dato il titolo informale di DPO erano per lo più persone provenienti da un background ICT – coloro cioè che potevano capire il flusso dei dati computerizzati e identificare e “proteggere” i dati relativi a individui identificabili.
Negli anni, poiché la tecnologia ha pervaso tutte le nostre vite in modo tale che i nostri alter ego digitali vengono portati con noi ovunque andiamo, ciò che ci si aspetta da un DPO si è notevolmente ampliato e diversificato.
Oggi, un DPO è la voce della conformità alla protezione dei dati all’interno di un’organizzazione. Il DPO dovrebbe essere in grado di aiutare le organizzazioni a rispettare i loro obblighi giuridici, ma quello che ciò significa ha molto più a che fare con il rispetto dei diritti di privacy degli individui – il loro essere aperti, giusti e trasparenti con le informazioni personali delle persone.
Ancora oggi riguarda la sicurezza, ma in questi giorni verte molto più sul fatto che le persone che detengono il titolo provengono da una moltitudine di contesti – l’ICT (ancora), ma anche la legge, la conformità, il servizio clienti e molte altre aree.
Il GDPR non solo formalizza il ruolo, ma lo prevede anche in molte organizzazioni. Per esempio, tutti gli organi pubblici ne dovranno avere uno.
Ma il ruolo è anche obbligatorio per quelle organizzazioni le cui attività fondamentali riguardano “un monitoraggio regolare e sistematico dei soggetti interessati su larga scala” o se le sue “attività fondamentali” comportano un’elaborazione su vasta scala di dati particolarmente sensibili (come i dati relativi a razza o origine etnica, credenze religiose, salute, vita sessuale o condanne penali).
Un’ulteriore guida (sebbene non sia stata definita nel modo più chiaro e utile) è stata prodotta da un gruppo di lavoro di cui all’articolo 29, un gruppo di rappresentanti delle autorità di controllo della protezione dei dati provenienti da tutta l’UE. Questa guida spiega che le “attività fondamentali” non comprendono l’elaborazione di informazioni personali nell’ambito delle risorse umane (in caso contrario qualsiasi datore di lavoro avrebbe dovuto disporre di un DPO).
Il GDPR definisce inoltre alcune delle qualità e degli obblighi richiesti ai DPO. Dice che un DPO deve:
- Agire “indipendentemente”
- Non prendere istruzioni dal proprio datore di lavoro
- Essere un esperto sulla legge sulla protezione dei dati
- Essere dotato di risorse sufficienti
- Non essere licenziato semplicemente per aver eseguito i propri compiti
- Riportare direttamente al “livello di gestione più elevato”
Un DPO non deve necessariamente essere nominato internamente – il GDPR chiarisce che il ruolo può essere ricoperto da un consulente esterno e può essere condiviso tra organizzazioni. Questo sarà senza dubbio utile – anche se comporterà un costo – per quelle piccole organizzazioni che avranno non poche difficoltà a trovare qualcuno all’interno per assumere questo compito.
In ogni caso, come afferma l’articolo 29, esiste un rischio di conflitti di interesse e, sebbene ai DPO non sia vietato detenere altre cariche, esistono alcuni ruoli che non possono conciliarsi con quello di un DPO – come il CEO, il CFO, il responsabile marketing, HR o IT.
Quindi, cosa succede se un’organizzazione è chiamata a designare un DPO sotto il GDPR, ma non lo fa? Ebbene, in teoria, una tale violazione potrebbe costare una multa “di livello inferiore” fino a 10 milioni di euro o al 2% del fatturato annuo globale.
Diciamo “in teoria” perché crediamo che nessuna autorità di controllo della protezione dei dati abbia mai imposto una tale multa solo per la mancata nomina di un DPO. Quello che potrebbe succedere è comunque una situazione in cui la mancata nomina potrebbe essere un fattore che contribuisce ad aggravare la situazione in caso di altri errori sostanziali.
Ma al di là di ciò, se non si nomina un DPO dove è necessario (o, anzi, se non si nomina un responsabile in materia di protezione dei dati, anche se non è necessaria la nomina di un DPO) manca la possibilità di avere qualcuno che possa supervisionare la conformità e incoraggiare miglioramenti organizzativi in quella che sarà una delle aree chiave del rischio normativo e legale nei prossimi anni.
*Tratto dall’articolo “GDPR: who needs to hire a data protection officer?” su di Jon Baines ( Naked Security)
Lascia un commento