La legislazione dell'UE in materia di protezione dei dati pone nuove esigenze

Una nuova era inizia il prossimo maggio con la nuova legge sulla protezione dei dati dell'UE, il regolamento generale sulla protezione dei dati (GDPR). Il GDPR si applica a tutti gli stati membri dell'Unione Europea (compreso il Regno Unito, prima e presumibilmente dopo la Brexit). Fino ad oggi, si è discusso molto sulle multe e le sanzioni per le violazioni, tra cui fino a 20 milioni di euro o il 4% del fatturato globale annuale di un'azienda.

Tuttavia, il requisito del ruolo del responsabile della protezione dei dati (DPO) sembra ancora avere un ruolo subordinato nelle aziende. "In passato, il ruolo del DPO era in gran parte indefinito, perché la legge europea sulla protezione dei dati ancora esistente deriva da una direttiva UE del 1995, che non prende ancora in considerazione tali ruoli e responsabilità nella stessa misura del GDPR", spiega Michael Veit, esperto di sicurezza informatica di Sophos.

Nuove istanze IT  

A quei tempi, i dati erano visti quasi esclusivamente in un "contesto informatico" e le prime persone a cui veniva dato il titolo informale di DPO di solito avevano un background informatico. Erano quelli che potevano capire, identificare e "proteggere" il flusso di dati informatici. Oggi, in un momento in cui la tecnologia domina così tanto le nostre vite, il ruolo e il compito di un DPO è cambiato significativamente.

Oggi, il DPO è l'autorità per la protezione dei dati all'interno di un'organizzazione. Il DPO deve aiutare un'azienda o un'organizzazione a rispettare i suoi obblighi legali - anche per quanto riguarda il rispetto della privacy delle persone private.

Si tratta in generale di sicurezza e questo include non solo la visione dell'IT ma anche le competenze in ambito legale, di conformità o di servizio al cliente e molte altre. Per conformarsi alle linee guida, il GDPR formula il ruolo di un DPO e ne impone l'uso nelle aziende e nelle organizzazioni. Per esempio, tutti gli enti pubblici richiederanno obbligatoriamente un DPO per garantire la libertà d'informazione o i diritti umani.

Questo significa anche che in alcune circostanze anche organizzazioni o imprese molto piccole possono avere il dovere legale di avere un DPO - per esempio le autorità locali o le scuole pubbliche.

Ma il ruolo è anche obbligatorio per quelle organizzazioni le cui attività principali implicano "un monitoraggio regolare e sistematico dei dati su larga scala" o dove le attività principali implicano il trattamento di dati particolarmente sensibili - per esempio, dati relativi all'origine etnica, alle credenze religiose, alla salute, alla vita sessuale o alle condanne penali.

Linee guida utili

Alcune linee guida, talvolta utili, sono state sviluppate dal gruppo di lavoro dell'articolo 29, un gruppo di rappresentanti delle autorità di protezione dei dati in tutta l'UE.

Il GDPR descrive le strutture (qualità e doveri) di un DPO. Sono richieste le seguenti qualifiche:

• Possibilità di azione "indipendente
• Indipendente dalle istruzioni del datore di lavoro
• Conoscenza della legge sulla protezione dei dati
• Risorse sufficienti per svolgere i compiti
• Riferire direttamente al più alto livello di gestione

Secondo l'articolo 29 delle linee guida, oltre alla qualifica di un RPD, non può sorgere alcun conflitto di interessi.

Alcuni ruoli nell'azienda sono incompatibili con il DPO, tra cui, per esempio, il CEO, il CFO, il capo del marketing, delle risorse umane o dell'IT. Altri principi guida spiegano, per esempio, che le "attività principali" critiche non coinvolgono il trattamento delle informazioni HR all'interno di un dipartimento HR - qualsiasi opinione contraria porterebbe ogni azienda, o dipartimento operativo, ad avere bisogno di un DPO.

www.sophos.com