Data Protection Officer: imprese, rischio confusione tra privacy e security

E-mail Stampa PDF

Regolamento UE 2016/679 prescrive che il responsabile della protezione dei dati deve essere designato sulla base della conoscenza specialistica della normativa, concetto ribadito anche dalle Linee Guida dei Garanti UE, adesso tradotte in italiano. Studio in corso evidenzia però che molte imprese attribuiscono la funzione di DPO al proprio IT manager, configurando situazione di conflitto d'interessi. Tempo per rimediare fino al 25 maggio 2018.

Firenze, 6 febbraio 2017 - Il criterio di individuazione che devono seguire tutte le pubbliche amministrazioni e le migliaia di aziende private che hanno l'obbligo di dotarsi di un "data protection officer" è chiaramente espresso nell'art. 37 del Regolamento UE 2016/679, dove è prescritto che il responsabile della protezione dei dati deve essere "designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati", concetto ribadito anche nelle raccomandazioni contenute nelle Linee Guida 16/EN WP 243 approvate dal Gruppo dei Garanti europei, ora tradotte in italiano a cura dell'Authority italiana.

Eppure, in base ai risultati che stanno emergendo da uno studio attualmente in corso, sembra che le imprese stentino ancora a mettere a fuoco la tematica, rivelando una certa difficoltà a distinguere perfino la differenza sostanziale tra la conformità alla normativa sulla protezione dei dati personali e la security, ramo dell'informatica che si occupa invece delle analisi delle minacce, delle vulnerabilità e dei rischi associati agli asset informatici al fine di proteggere i dati dai potenziali attacchi. Non sono infatti poche le società italiane che affidano l'incarico di data protection officer ad una risorsa del proprio reparto IT, oppure quelle che nel processo di selezione del DPO cercano prevalentemente le competenze informatiche, trascurando d'altra parte le conoscenze giuridiche, indispensabili per districarsi trai meandri della normativa per evitare sanzioni che con il nuovo Regolamento Europeo potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dei trasgressori.

Tuttavia, che la scelta di un informatico puro come data protection officer, o addirittura la  designazione come tale di una risorsa che appartiene alla funzione IT, siano prassi che comportano elevati rischi di violazione della stessa normativa, è dimostrato dal caso emblematico di una società tedesca che è stata sanzionata dal Garante per la privacy bavarese perché aveva nominato DPO il proprio IT manager, configurando una situazione di palese incompatibilità. A spiegare come evitare simili violazioni, è il presidente di Federprivacy, Nicola Bernardi:

"Un titolare del trattamento che designa il proprio IT manager come data protection officer, non solo deve dimostrare che tale persona possegga effettivamente le conoscenze specialistiche della normativa come richiesto all'art.37 del Regolamento, ma deve anche assicurare che altri compiti e funzioni da questo svolte non diano adito a un conflitto d'interessi, come prescritto nell'art.38, perché altrimenti il DPO dovrebbe in pratica controllare se stesso - sottolinea Bernardi - Quando il Regolamento UE sarà direttamente applicabile, non ci sarebbe quindi da stupirsi se anche l'Authority italiana multasse imprese che non hanno prestato attenzione a questi due requisiti essenziali."

Un quadro più ampio della situazione su questo tema, sarà delineato nei prossimi giorni con i risultati della ricerca condotta da Federprivacy su un campione di oltre 1.000 aziende pubbliche e private con l'obiettivo di capire come si sono attualmente organizzate le imprese italiane, sia per quanto riguarda l'identikit del profilo professionale scelto dalle aziende per ricoprire il ruolo di data protection officer, sia la posizione aziendale in cui esso è stato collocato.

Fatto sta che, anche se dovessero emergere fenomeni diffusi che deviano dai dettati del Regolamento UE 2016/679, le aziende hanno ancora tempo fino al 25 maggio 2018 per rimediare e rivalutare attentamente le scelte fatte finora.

e-max.it: your social media marketing partner
Ultimo aggiornamento ( Venerdì 17 Febbraio 2017 11:24 )  

I nostri sostenitori

Newsletter

Rimani aggiornato con le nostre news periodiche
captcha 
Privacy e Termini di Utilizzo
Ho letto l'informativa e presto il mio consenso

Statistiche Utenti

Totale iscritti : 7098
Membri online : 0
Mese corrente : 0 iscritti
Totale soci: 1759

Cerca nel sito


Regolamento UE 2016/679:il Data Protection Officer

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Visitatori Online

 542 visitatori online

Aziende ed enti che aderiscono a Federprivacy

In evidenza: la certificazione di Privacy Officer


Privacy & Società

Privacy:Ue, no negoziati su protezione in intese commerciali
La tutela dei dati personali non può essere oggetto di negoziati nelle intese commerciali tra l'Ue e un Paese terzo, in quanto questa sarà sempre sottoposta strettamente al rispetto delle norme europee in materia. E' quanto ha messo nero su bianco il Collegio dei...
Leggi tutto 3394 Visite 0 Voti

Le Notizie di oggi

Sapresti rispondere?

Qual è il rapporto tra privacy e trasparenza amministrativa?
Il Testo unico definisce il bilanciamento tra riservatezza e trasparenza con una maggiore tutela per i dati sensibili: quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, l'accesso ai documenti amministrativi è consentito se la...
Leggi tutto 17325 Visite 0 Voti

Community

    • Responsabile esterno??
    • Le caratteristiche dell'atto le ho viste, grazie. Ma era proprio capire, se è eccessivo nominare...
    • 9 Mesi 4 Settimane fa
    • Responsabile esterno??
    • Io mi atterrei a quanto riportato sul sito del Garante, dove si legge: Il Reg UE fissa più...
    • 10 Mesi 2 Giorni fa
    • Responsabile esterno??
    • Con il nuovo Regolamento Europeo come, secondo voi, è meglio identificare le società "destinatarie" dei...
    • 10 Mesi 2 Giorni fa

Altre discussioni »

 541 visitatori online