DPO: come si stanno organizzando le aziende italiane?

Molte aziende confondono il ruolo del Data Protection Officer con quello delle risorse IT, rischiando sanzioni.

Regolamento UE 2016/679 prescrive che il responsabile della protezione dei dati deve essere designato sulla base della conoscenza specialistica della normativa, concetto ribadito anche dalle Linee Guida dei Garanti UE, adesso tradotte in italiano. Studio in corso evidenzia però che molte imprese attribuiscono la funzione di DPO al proprio IT manager, configurando situazione di conflitto d’interessi. Tempo per rimediare fino al 25 maggio 2018

Firenze, 6 febbraio 2017 – Il criterio di individuazione che devono seguire tutte le pubbliche amministrazioni e le migliaia di aziende private che hanno l’obbligo di dotarsi di un “data protection officer” è chiaramente espresso nell’art. 37 del Regolamento UE 2016/679, dove è prescritto che il responsabile della protezione dei dati deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, concetto ribadito anche nelle raccomandazioni contenute nelle Linee Guida 16/EN WP 243 approvate dal Gruppo dei Garanti europei, ora tradotte in italiano a cura dell’Authority italiana.

Eppure, in base ai risultati che stanno emergendo da uno studio attualmente in corso, sembra che le imprese stentino ancora a mettere a fuoco la tematica, rivelando una certa difficoltà a distinguere perfino la differenza sostanziale tra la conformità alla normativa sulla protezione dei dati personali e la security, ramo dell’informatica che si occupa invece delle analisi delle minacce, delle vulnerabilità e dei rischi associati agli asset informatici al fine di proteggere i dati dai potenziali attacchi. Non sono infatti poche le società italiane che affidano l’incarico di data protection officer ad una risorsa del proprio reparto IT, oppure quelle che nel processo di selezione del DPO cercano prevalentemente le competenze informatiche, trascurando d’altra parte le conoscenze giuridiche, indispensabili per districarsi trai meandri della normativa per evitare sanzioni che con il nuovo Regolamento Europeo potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dei trasgressori.

Tuttavia, che la scelta di un informatico puro come data protection officer, o addirittura la designazione come tale di una risorsa che appartiene alla funzione IT, siano prassi che comportano elevati rischi di violazione della stessa normativa, è dimostrato dal caso emblematico di una società tedesca che è stata sanzionata dal Garante per la privacy bavarese perché aveva nominato DPO il proprio IT manager, configurando una situazione di palese incompatibilità. A spiegare come evitare simili violazioni, è il presidente di Federprivacy, Nicola Bernardi: “Un titolare del trattamento che designa il proprio IT manager come data protection officer, non solo deve dimostrare che tale persona possegga effettivamente le conoscenze specialistiche della normativa come richiesto all’art.37 del Regolamento, ma deve anche assicurare che altri compiti e funzioni da questo svolte non diano adito a un conflitto d’interessi, come prescritto nell’art.38, perché altrimenti il DPO dovrebbe in pratica controllare se stesso – sottolinea Bernardi – Quando il Regolamento UE sarà direttamente applicabile, non ci sarebbe quindi da stupirsi se anche l’Authority italiana multasse imprese che non hanno prestato attenzione a questi due requisiti essenziali.”

Un quadro più ampio della situazione su questo tema, sarà delineato nei prossimi giorni con i risultati della ricerca condotta da Federprivacy su un campione di oltre 1.000 aziende pubbliche e private con l’obiettivo di capire come si sono attualmente organizzate le imprese italiane, sia per quanto riguarda l’identikit del profilo professionale scelto dalle aziende per ricoprire il ruolo di data protection officer, sia la posizione aziendale in cui esso è stato collocato.

Fatto sta che, anche se dovessero emergere fenomeni diffusi che deviano dai dettati del Regolamento UE 2016/679, le aziende hanno ancora tempo fino al 25 maggio 2018 per rimediare e rivalutare attentamente le scelte fatte finora.

Fonte: Adnkronos

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL