Il tempo scorre veloce, il prossimo 25 maggio entra in vigore la nuova riedizione delle normative europee per la privacy e protezione dei dati, che sarà applicata a tutti gli stati membri dell’Unione.
Tanto si è detto e scritto in merito in questi ultimi mesi, ma ciò che forse non è stato ben evidenziato è che il nuovo regolamento introduce una base giuridica per un ruolo che fino ad oggi ha avuto solo uno status informale: il Data Protection Officer (DPO).
Il nuovo GDPR non solo formalizza il ruolo, ma lo prevede anche in molte organizzazioni.
Il ruolo è obbligatorio per le organizzazioni le cui attività riguardano “un monitoraggio regolare e sistematico dei soggetti interessati su larga scala”.
O se le proprie “attività fondamentali” comportano un’elaborazione su vasta scala di dati particolarmente sensibili (come i dati relativi a razza o origine etnica, credenze religiose, salute, vita sessuale o condanne penali). Ad esempio anche tutti gli organi pubblici ne dovranno avere uno.
Una guida prodotta da un gruppo di lavoro di cui all’articolo 29, specifica che le “attività fondamentali” non comprendono l’elaborazione di informazioni personali nell’ambito delle risorse umane, perchè altrimenti in questo caso, qualsiasi datore di lavoro avrebbe dovuto disporre di un DPO.
Il nuovo Genaral Data Protection Regulation definisce alcune delle qualità e degli obblighi richiesti ai Data Protection Officer (DPO).
Un Data Protection Officer dovrà:
- agire “indipendentemente”
- non prendere istruzioni dal proprio datore di lavoro
- essere un esperto sulla legge sulla protezione dei dati
- essere dotato di risorse sufficienti
- non essere licenziato semplicemente per aver eseguito i propri compiti
- riportare direttamente al “livello di gestione più elevato”.
La nomina del DPO può avvenire internamente, ma si deve considerare che alcuni ruoli non possono conciliarsi con quello di un DPO: il CEO, il CFO, il responsabile marketing, HR o IT non possono ricoprire il ruolo di DPO.
Il nuovo GDPR specifica che il ruolo può essere ricoperto da un consulente esterno e può essere condiviso tra organizzazioni.
Questo sarà molto utile per quelle piccole organizzazioni che avranno difficoltà ad individuare internamente un candidato idoneo al nuovo ruolo.
Il DPO deve essere in grado di aiutare le aziende a rispettare i loro obblighi giuridici, ma quello che ciò significa ha molto più a che fare con il rispetto dei diritti di privacy degli individui, e con la sicurezza dell’intera infrastruttura informatica.
LEGGI IL POST COMPLETO SU NAKED SECURITY