venerdì, 29 marzo 2024

W la Privacy

W la Privacy

Data Protection Officer, rischio confusione tra privacy e security

13/02/2017

MILANO -  Il criterio di individuazione che devono seguire tutte le pubbliche amministrazioni e le migliaia di aziende private che hanno l'obbligo di dotarsi di un "data protection officer" è chiaramente espresso nell'art. 37 del Regolamento UE 2016/679, dove è prescritto che il responsabile della protezione dei dati deve essere "designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati", concetto ribadito anche nelle raccomandazioni contenute nelle Linee Guida 16/EN WP 243 approvate dal Gruppo dei Garanti europei, ora tradotte in italiano a cura dell'Authority italiana.

Eppure, in base ai risultati che stanno emergendo da uno studio attualmente in corso, sembra che le imprese stentino ancora a mettere a fuoco la tematica, rivelando una certa difficoltà a distinguere perfino la differenza sostanziale tra la conformità alla normativa sulla protezione dei dati personali e la security, ramo dell'informatica che si occupa invece delle analisi delle minacce, delle vulnerabilità e dei rischi associati agli asset informatici al fine di proteggere i dati dai potenziali attacchi. Non sono infatti poche le società italiane che affidano l'incarico di data protection officer ad una risorsa del proprio reparto IT, oppure quelle che nel processo di selezione del DPO cercano prevalentemente le competenze informatiche, trascurando d'altra parte le conoscenze giuridiche, indispensabili per districarsi trai meandri della normativa per evitare sanzioni che con il nuovo Regolamento Europeo potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dei trasgressori.

Tuttavia, che la scelta di un informatico puro come data protection officer, o addirittura la  designazione come tale di una risorsa che appartiene alla funzione IT, siano prassi che comportano elevati rischi di violazione della stessa normativa, è dimostrato dal caso emblematico      di una società tedesca che è stata sanzionata dal Garante per la privacy bavarese perché aveva nominato DPO il proprio IT manager, configurando una situazione di palese incompatibilità. A spiegare come evitare simili violazioni, è il presidente di Federprivacy, Nicola Bernardi:

"Un titolare del trattamento che designa il proprio IT manager come data protection officer, non solo deve dimostrare che tale persona possegga effettivamente le conoscenze specialistiche della normativa come richiesto all'art.37 del Regolamento, ma deve anche assicurare che altri compiti e funzioni da questo svolte non diano adito a un conflitto d'interessi, come prescritto nell'art.38, perché altrimenti il DPO dovrebbe in pratica controllare se stesso - sottolinea Bernardi - Quando il Regolamento UE sarà direttamente applicabile, non ci sarebbe quindi da stupirsi se anche l'Authority italiana multasse imprese che non hanno prestato attenzione a questi due requisiti essenziali."

Un quadro più ampio della situazione su questo tema, sarà delineato nei prossimi giorni con i risultati della ricerca condotta da Federprivacy su un campione di oltre 1.000 aziende pubbliche e private con l'obiettivo di capire come si sono attualmente organizzate le imprese italiane, sia per quanto riguarda l'identikit del profilo professionale scelto dalle aziende per ricoprire il ruolo di data protection officer, sia la posizione aziendale in cui esso è stato collocato. Fatto sta che, anche se dovessero emergere fenomeni diffusi che deviano dai dettati del Regolamento UE 2016/679, le aziende hanno ancora tempo fino al 25 maggio 2018 per rimediare e rivalutare attentamente le scelte fatte finora.

 

Ethos Academy prosegue la sua campagna formativa in tutta Italia: il tour consente di avere un preciso quadro sui fabbisogni formativi del comparto, e non solo, il TUV Italia ha promosso la certificazione degli operatori della sicurezza e il corso di alta formazione Master Privacy Officer & Consulente della Privacy sulle responsabilità degli installatori è tra i corsi validati e riconosciuti della stesso ente per il percorso di certificazione, vedi:

http://www.ethosacademy.it/formazione-security-safety-corso.asp?c=8&id=28

 

Articolo a cura di Nicola Bernardi, presidente di Federprivacy


maggiori informazioni su:
www.federprivacy.it



Tutte le news

Privacy e Videosorveglianza

Preparazione alla Certificazione

Ethos Academy

Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia

Webinar
La Norma CEI 64-8

Cybersecurity

Webinar

Ethos Academy

La cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia