Data Protection Officer e IT manager sono due figure diverse

27 Aprile 2017

Di questa figura si sta parlando sempre di più, sostanzialmente perché è richiesta dal nuovo Regolamento europeo 2016/679 per la protezione e libera circolazione dei dati personali, il cosiddetto Gdpr, che entrerà in vigore a partire da maggio del prossimo anno.

Scopri quanto ci vorrà per adeguare la tua azienda!

Chi deve dotarsi di un Data Protection Officer

Ai sensi della normativa, devono dotarsi di un Data Protection Officer tutte le imprese pubbliche e private che svolgono trattamenti di dati personali potenzialmente in grado di ledere gravemente i diritti degli interessati e hanno, quindi, la necessità di essere monitorati da un soggetto indipendente.

L’articolo 37 del Regolamento Ue stabilisce che il DPO «deve essere designato sulla base della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati»: si tratta di un concetto molto chiaro, ribadito anche dalle linee guida approvate dalle Autority di Garanzia europee, ma ad oggi sono ancora poche le imprese, specialmente quelle italiane, che hanno rispettato queste raccomandazioni.

Il DPO corrisponde all’IT manager: un conflitto di interessi

Alcuni studi evidenziano infatti come diverse organizzazioni, evidentemente ancora poco preparate, abbiano attribuito la funzione di Data Protection Officer al proprio IT manager (o ad una risorsa appartenente all’ufficio IT), venendo così meno alle indicazioni della normativa. Quello che viene a generarsi è infatti un conflitto di interessi: il caso emblematico è quello di una società tedesca che è stata sanzionata dal Garante per la privacy bavarese proprio perché aveva nominato DPO il proprio IT manager.

Come evitare violazioni del nuovo Regolamento

Il commento di Nicola Bernardi, presidente di Federprivacy, fa luce su come evitare simili violazioni: «Un titolare del trattamento dei dati che designa il proprio IT manager come Data protection officer non solo deve dimostrare che tale persona possegga effettivamente le conoscenze specialistiche della normativa come richiesto all’art.37 del Regolamento, ma deve anche assicurare che altri compiti e funzioni da questo svolte non diano adito a un conflitto d’interessi, come prescritto nell’art.38, perché altrimenti il Dpo dovrebbe in pratica controllare se stesso. Quando il Regolamento Ue sarà direttamente applicabile, non ci sarebbe quindi da stupirsi se anche l’Authority italiana multasse imprese che non hanno prestato attenzione a questi due requisiti essenziali».

Dunque, nel processo di selezione del Dpo, uno dei maggiori rischi è quello di trascurare le conoscenze giuridiche, indispensabili per orientarsi nel groviglio della normativa e ridurre al minimo la possibilità di incorrere in sanzioni che possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

Risulta quindi chiaro quanto sia compilato riuscire a fare una distinzione tra conformità al Regolamento sulla protezione dei dati e sicurezza informatica. A maggior ragione, quindi, la selezione di questa nuova figura diventa di importanza strategica per le imprese.

Il Data Protection Officer ideale

Secondo gli esperti, il profilo ideale è quello di un professionista che sia:

Esterno all’azienda,
Dotato delle necessarie competenze giuridiche (per poter interpretare in modo corretto le norme) ed informatiche (per potersi interfacciare in modo adeguato con i responsabili dei sistemi informativi);
Capace di realizzare una completa analisi dei rischi e una valutazione delle interazioni con le altre discipline che riguardano, anche indirettamente, la sicurezza e la gestione delle informazioni.

Il DPO dunque ha il compito di sorvegliare che siano rispettati sia il Regolamento Ue sia le specifiche prescrizioni delle autorità nazionali, che vi sia cooperazione con l’autorità di controllo, che chi gestisce il trattamento dei dati sia informato e consigliato rispetto all’eventuale non conformità di scelte adottate.

Il 25 maggio 2018 il Regolamento entrerà ufficialmente in vigore: il consiglio degli esperti rivolto alle aziende in cerca di questa figura è quello di muoversi subito, anche per poter eventualmente rimediare a scelte fatte fino ad oggi.