Il Data Protection Officer (DPO) o Responsabile della Protezione dei Dati è la figura introdotta dal Regolamento generale per la protezione dei dati personali 2016/679 (GDPR) che ha il ruolo di affiancare titolari e addetti del trattamento dei dati, aiutandoli a rispettare i principi di compliance e le indicazioni del GDPR al fine della protezione dei dati.
In breve, consiglia, sorveglia e funge da punto di contatto per l’organizzazione (o Titolare per il GDPR) per tutte le questioni attinenti alla privacy. Ma quali sono nello specifico i compiti e le sfide che il Data Protection Officer può incontrare?
I compiti del Data Protection Officer
Come riportato nell’art. 39 del GDPR, il Responsabile della Protezione dei Dati si occupa principalmente di:
- sorvegliare sull’osservanza della normativa, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
- collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
- informare e sensibilizzare del trattamento il titolare o il responsabile, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
- cooperare con il Garante e fungere da punto di contatto su ogni questione connessa al trattamento;
- supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.
Nello svolgimento di questi compiti, tuttavia, il Data Protection Offier può andare incontro a diverse sfide: vediamo insieme le principali.
Le sfide del DPO e della gestione dei dati
Identificare le basi giuridiche di riferimento
Deve identificare sia le basi giuridiche che giustificano la raccolta e il trattamento dati, indicandoli nell’informativa, sia il trasferimento dei dati. In caso di utilizzo di piattaforme o di fornitori esterni, di internazionalizzazione del dato e di utilizzo di soluzioni Cloud, è necessario validare e controllare dove e in che modo vengono trattati e stoccati i dati e se sono conformi alle regole UE.
Determinare come gestire i dati
Deve anche determinare quali dati si vuole o è necessario raccogliere e per quanto tempo conservarli, nel rispetto delle norme e contenendo il rischio in caso di furto o attacco informatico. Vanno inoltre determinate le misure di sicurezza, che devono essere fisiche, tecniche ed organizzative; a questo è correlata anche la necessità di una valutazione d’impatto, partendo dalla mappatura di quali dati si raccolgono e come vengono gestiti.
Conoscere le normative e i più attuali scenari di gestione dei dati personali
Deve confrontarsi non solo con la norma sulla privacy o il GDPR, ma anche raccogliere e gestire dati in funzione di altri regolamenti e standard, e confrontarsi con le sfide poste dal crescente impiego dell’Intelligenza Artificiale. Deve conoscere l’organizzazione, le attività svolte e soprattutto i dati trattati, e stabilire un registro del trattamento dei dati in modo da sapere quali sono trattati internamente e quali condivisi con fornitori.
Organizzare audit e relazioni
Deve organizzare e partecipare a cicliche verifiche sul trattamento dei dati (attraverso Audit), presidiare i rapporti con le autorità di controllo preposte alla tipologia di dato e assicurare la redazione di relazioni periodiche. Per queste attività del DPO è essenziale la collaborazione con altre figure dell’organico aziendale, compresa la sicurezza, l’auditing e il dipartimento informatico.
Stabilire procedure e formazione interne
Deve stabilire le procedure interne, le policy in cui si operano le politiche interne (ad esempio, come utilizzare in sicurezza un pc o fare la criptografia dei dati) e attuarle. Inoltre, deve occuparsi di fare formazione sia come corsi ai dipendenti di consapevolezza sul tema sicurezza, sia come sensibilizzazione sul ruolo stesso del DPO, in modo da far capire la sua funzione e l’importanza dell’area di competenza (accountability), traducendo le indicazioni in “norme di comportamento” dell’azienda.
Appoggiarsi a una soluzione di raccolta e gestione dei log
Per dare risposta a queste sfide e assolvere ai propri compiti, il Data Protection Officer fornisce all’azienda diversi principi normativi e compiti da rispettare e applicare.
Per farlo, il presupposto è strutturare e coordinare attività come per esempio:
- la raccolta e centralizzazione dei log da fonti diverse;
- la standardizzazione dei dati;
- il monitoraggio;
- le misure di sicurezza per prevenire i data breach;
- i back up per il ripristino dei dati in caso di malfunzionamenti.
L’adozione di strumenti per la raccolta e la gestione dei dati e degli accessi come i sistemi di Log Management rappresenta il più valido alleato del Data Protection Officer nell’assolvere alle sue funzioni: soluzioni di questo tipo rispondono alla complessità di compiti correlati alla compliance e alla sicurezza, automatizzandoli e strutturandoli.