News
Bureau Veritas e Ogyre: insieme per liberare il mare dalle plastiche
Come forse è noto, il 25 maggio 2018 in Europa è entrato in vigore il GDPR, General Data Protection Regulation, cioè il regolamento per il trattamento, la circolazione e la protezione di dati personali relativi alle persone fisiche. Tra gli obblighi ai quali è necessario ottemperare vi è quello della designazione di un DPO o Data Protection Officer (che in italiano prende il nome di Responsabile della Protezione dei Dati, RPD).
Secondo quanto stabilito (GDPR, art. 39, paragrafo 1) tra i compiti che un DPO deve svolgere vi sono:
• la raccolta di informazioni per la classificazione dei trattamenti dei dati personali
• l’analisi e la verifica che questi trattamenti siano conformi alle normative vigenti
• un’attività di informazione, consulenza e affiancamento del titolare responsabile nella corretta
• gestione del data base
• la conduzione di una valutazione del rischio
• l’attività di coordinamento e di contatto con l’autorità di controllo.
Ma quali aziende sono obbligate per legge a introdurre questa figura professionale? E quali conseguenze possono derivare da una decisione affrettata e non abbastanza ponderata nella scelta di un profilo di cui è difficile verificare l’effettiva professionalità?
A fare un po’ di chiarezza aiutano le “Linee Guida sui Responsabili della Protezione dei Dati RPD” stilate dal Gruppo di Lavoro Articolo 29 in materia di Protezione dei Dati Personali (WP29) nelle quali si legge che (secondo quanto previsto dall’art. 37, primo paragrafo del GDPR) la nomina di un responsabile della Protezione dei Dati è obbligatoria in tre casi:
“a. se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
b. se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
c. se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati [quali quelli relativi all’orientamento politico, all’origine etnica, alla fede religiosa, alla salute fisica, all’orientamento sessuale, etc. del soggetto registrato] o di dati personali relativi a condanne penali e reati.”
Stabilita dunque l’appartenenza a una delle tre categorie, è necessario procedere con l’identificazione di un DPO idoneo a verificare, vigilare e monitorare che i dati vengano trattati, lungo tutto il processo produttivo, secondo quanto prescritto dal regolamento.
Il responsabile, che può essere identificato all’interno dell’azienda o tra una rosa di consulenti esterni, dovrebbe essere selezionato in base al suo curriculum vitae, valutando se questi abbia o meno competenze legali e/o tecniche specifiche e se - per quanto tempo - in passato abbia già rivestito il ruolo di DPO. Simili criteri, tuttavia, potrebbero non essere sufficienti per stabilire se l’azienda stia davvero affidando alla persona giusta un tale ruolo.
Infatti, se da un lato il GDPR non esplicita in modo inequivocabile le competenze che un DPO deve avere (ma fa riferimento a generiche capacità del soggetto) dall’altro, nel caso in cui insorgano cause legali o si verifichino data breach, è certo che il primo responsabile dell’accaduto sarà il titolare del dati e non il DPO.
Pertanto, nell’evenienza di un trafugamento o furto di informazioni, violazione dei sistemi di sicurezza informatica o cause legali, il titolare di questi dati dovrà poter dimostrare in sede giudiziale di aver rispettato il principio dell’accountability, ovvero di aver fatto tutto ciò che era nelle proprie facoltà (anche economiche) per poter proteggere i dati in suo possesso e rispettare il GDPR.
Il che significa anche aver saputo scegliere un DPO appropriato dal punto di vista delle capacità professionali.
Per dimostrare di aver adempiuto agli obblighi di legge, tra le varie soluzioni, vi è quella della certificazione delle competenze, affidandosi a professionisti interni o esterni all’azienda.
È quindi evidente l’importanza dell’ottenimento o del possesso di una certificazione rilasciata da un Ente di Certificazione Accreditato da Accredia secondo la norma UNI 11697 che definisce le competenze dei professionisti della privacy.
Pur non essendo obbligatoria per ricoprire il ruolo di DPO, la certificazione è un utile strumento:
• per quelle imprese che si trovano a dover dimostrare di aver scelto la figura professionale più adatta al compito (ad esempio, nel corso di una possibile causa legale è la prova tangibile, per il titolare dei dati, di aver osservato il presupposto dell’accountability)
• per i professionisti, quando hanno necessità di attestare le proprie competenze in materia.
Torniamo, dunque, all’inizio e alle ragioni che spingono ad assumere un DPO certificato o le cui capacità sono comprovate. Oltre ai vantaggi e alla sicurezza in caso di contenzioso, inserire nella propria struttura un DPO significa avere una figura in grado di svolgere funzioni di coordinamento tra aree e settori operativi differenti, capace di rendere omogeneo e coerente lo standard di certe procedure, rendendo più fluidi alcuni processi aziendali.
Insomma, elementi che si riflettono positivamente sull’intera organizzazione.
