Data Protection Officer, rischio confusione tra privacy e security

(Firenze, 7 febbraio 2017) – Regolamento UE 2016/679 prescrive che il responsabile della protezione dei dati deve essere designato sulla base della conoscenza specialistica della normativa, concetto ribadito anche dalle Linee Guida dei Garanti UE, adesso tradotte in italiano. Studio in corso evidenzia pero’ che molte imprese attribuiscono la funzione di DPO al proprio IT manager, configurando situazione di conflitto d’interessi. Tempo per rimediare fino al 25 maggio 2018

Firenze, 6 febbraio 2017 – Il criterio di individuazione che devono seguire tutte le pubbliche amministrazioni e le migliaia di aziende private che hanno l’obbligo di dotarsi di un “data protection officer” e’ chiaramente espresso nell’art. 37 del Regolamento UE 2016/679, dove e’ prescritto che il responsabile della protezione dei dati deve essere “designato in funzione delle qualita’ professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, concetto ribadito anche nelle raccomandazioni contenute nelle Linee Guida 16/EN WP 243 approvate dal Gruppo dei Garanti europei, ora tradotte in italiano a cura dell’Authority italiana.

Eppure, in base ai risultati che stanno emergendo da uno studio attualmente in corso, sembra che le imprese stentino ancora a mettere a fuoco la tematica, rivelando una certa difficolta’ a distinguere perfino la differenza sostanziale tra la conformita’ alla normativa sulla protezione dei dati personali e la security, ramo dell’informatica che si occupa invece delle analisi delle minacce, delle vulnerabilita’ e dei rischi associati agli asset informatici al fine di proteggere i dati dai potenziali attacchi. Non sono infatti poche le societa’ italiane che affidano l’incarico di data protection officer ad una risorsa del proprio reparto IT, oppure quelle che nel processo di selezione del DPO cercano prevalentemente le competenze informatiche, trascurando d’altra parte le conoscenze giuridiche, indispensabili per districarsi trai meandri della normativa per evitare sanzioni che con il nuovo Regolamento Europeo potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dei trasgressori.

Tuttavia, che la scelta di un informatico puro come data protection officer, o addirittura la designazione come tale di una risorsa che appartiene alla funzione IT, siano prassi che comportano elevati rischi di violazione della stessa normativa, e’ dimostrato dal caso emblematico di una societa’ tedesca che e’ stata sanzionata dal Garante per la privacy bavarese perche’ aveva nominato DPO il proprio IT manager, configurando una situazione di palese incompatibilita’. A spiegare come evitare simili violazioni, e’ il presidente di Federprivacy, Nicola Bernardi: “Un titolare del trattamento che designa il proprio IT manager come data protection officer, non solo deve dimostrare che tale persona possegga effettivamente le conoscenze specialistiche della normativa come richiesto all’art.37 del Regolamento, ma deve anche assicurare che altri compiti e funzioni da questo svolte non diano adito a un conflitto d’interessi, come prescritto nell’art.38, perche’ altrimenti il DPO dovrebbe in pratica controllare se stesso – sottolinea Bernardi – Quando il Regolamento UE sara’ direttamente applicabile, non ci sarebbe quindi da stupirsi se anche l’Authority italiana multasse imprese che non hanno prestato attenzione a questi due requisiti essenziali.”

Un quadro piu’ ampio della situazione su questo tema, sara’ delineato nei prossimi giorni con i risultati della ricerca condotta da Federprivacy su un campione di oltre 1.000 aziende pubbliche e private con l’obiettivo di capire come si sono attualmente organizzate le imprese italiane, sia per quanto riguarda l’identikit del profilo professionale scelto dalle aziende per ricoprire il ruolo di data protection officer, sia la posizione aziendale in cui esso e’ stato collocato.

Fatto sta che, anche se dovessero emergere fenomeni diffusi che deviano dai dettati del Regolamento UE 2016/679, le aziende hanno ancora tempo fino al 25 maggio 2018 per rimediare e rivalutare attentamente le scelte fatte finora.

Ufficio Stampa Federprivacy

Email: [email protected]
Web: www.federprivacy.it

Twitter: @Federprivacy
Mobile: +39 335 147.33.33

(Immediapress – Adnkronos
Immediapress e’ un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall’ente che lo emette. Padovanews non e’ responsabile per i contenuti dei comunicati trasmessi.)

loading...
%d blogger hanno fatto clic su Mi Piace per questo: