Benvenuto nel blog MarinaBay. Buona navigazione!

Cos’è il DPO e perché è importante nel GDPR aziendale

Qualunque sia l’estensione commerciale di un’attività, o la grandezza del mercato in cui opera, il trattamento dei dati (personali e tecnici) ha rilevanza ai fini di legge. Occorre perciò una figura che si occupi di controllare i processi con cui vengono trattati e gestiti.

Che cos’è il DPO

DPO è un acronimo che sta per Data Protection Officer, cioè il Responsabile della Protezione dei Dati. Si tratta di un consulente tecnico e legale che possiede il potere esecutivo. Affianca addetti, titolari e responsabili in modo che conservino i dati e gestiscano i vari rischi rispettando il regolamento europeo. Ha quindi una doppia funzione: da una parte sorveglia e consiglia, dall’altra comunica tra un’organizzazione e le autorità.
Il suo compito principale è quello di informare le varie cariche aziendali in merito a come raccogliere, conservare e trattare i dati. Agendo da conselour e sensibilizzandoli nella materia.

Che cos’è il GDPR

Il 24 Maggio 2016 è stata una data importante. Entrava in vigore il regolamento UE 2016/679, il GDPR: General Data Protection Regulation. La cui applicazione è avvenuta a partire dal 25 Maggio 2018. Sono stati dati quindi 2 anni alle varie aziende per adeguarsi al nuovo regolamento.
Tale regolamento è stato voluto per unificare i processi e gli obblighi di legge, riguardanti tutte le organizzazioni che operano commercialmente con qualsiasi stato europeo. Nel farlo, i legislatori, per evitare montagne di regole varie che non avrebbero mai potuto essere seguite, dato l’alto numero di mercati, hanno preferito seguire un modello di Responsabilizzazione (Accountability) di titolari e responsabili d’azienda.
La difesa dei dati è una cosa seria, sanzionata gravemente. Non occorre quindi solo fare le cose, ma dimostrarle sul campo.
Il GDPR è costantemente votato sulla necessità dei titolari, di adottare e mettere in atto, misure di sicurezza che siano appropriate ed efficaci. E devono poter dimostrare, in ogni istante, la loro conformità verso il regolamento stesso.
Il GDPR ha due fondamenti rilevanti:

– Natura preventiva e non di rimedio
– Le soluzioni tecnologiche, che siano necessarie, dovranno essere inserite nella struttura sistemica come parti integranti, e non come aggiunte postume
– La privacy by design include la protezione dei dati fin dalla progettazione di un sistema
– La privacy by default riguarda la metodologia con cui il sistema opera, conserva e protegge i dati durante la loro utilizzazione.

Perché il DPO è importante

Dato che il GDPR punta alla consapevolezza, il DPO ha il compito di far comprendere, in maniera semplice, cosa siano i dati, come proteggerli, cosa succede se accade una violazione e come trattarla, e tanto altro. Se dovesse solo citare a memoria leggi e articoli di regolamento, non ci capirebbe niente nessuno e non starebbe facendo bene il suo lavoro. Il suo compito è quello di sensibilizzare e formare riguardo al GDPR.
Un DPO serio non si basa su chek-list prefatte e fogli di calcolo con miriadi di voci; può anche farlo ma principalmente deve aiutare il titolare a individuare quali dati sta trattando, e come li sta proteggendo. Se il rischio residuale è basso, ottimo. Ma se non lo è occorre aiutare a capire come si può migliorare (cambiando gestionale, modificando l’operatività di un metodo, e così via).
Altro compito, importante, del DPO è la sorveglianza di tutte le procedure e le persone addette ai processi. Deve quindi essere un pochino fastidioso, ficcanasando dovunque per individuare eventuali incongruenze, o peggio, e agire di conseguenza.
Il DPO è importante in quanto evita che la perdita di dati possa generare un danno; sia verso i propri dipendenti che clienti. Un dato personale, quale la password di accesso ad un archivio di progetti importanti, può creare un danno notevole (furto telematico, cancellazione di progetti, eccetera) con conseguente tracollo degli assets aziendali.

Back to top