Dall’avvento del GDPR, la gestione dei dati di utenti e clienti è diventata una materia cruciale all’interno di qualsiasi azienda, complicandosi con la diversificazione delle fonti e l’uso crescente di tecnologie come l’intelligenza artificiale e gli analytics. Il GDPR ha richiesto alle aziende di designare un Responsabile della Protezione dei Dati (DPO) per garantirne la corretta gestione e segnalare violazioni alle autorità. Tuttavia, a distanza di cinque anni dall’applicazione completa del GDPR, un’indagine dell’European Data Protection Board ha rivelato che i DPO affrontano ancora numerose sfide, tra cui risorse limitate, carenza di competenze specifiche, scarsa indipendenza e coinvolgimento nei processi decisionali, e una generale confusione sull’importanza del loro ruolo.
D’altro canto, però, è comprensibile che non tutte le imprese abbiano le risorse economiche e le competenze necessarie a prevedere un DPO nella propria struttura organizzativa e a garantirne la formazione continua per far fronte a un’evoluzione così rapida del trattamento dei dati.
Vediamo quindi quali sono i compiti specifici dei DPO e quali strategie possono adottare le imprese per assicurare completa conformità al GDPR.
Il ruolo del Data Protection Officer (DPO)
Nello specifico, un DPO si occupa di:
· informare e consigliare le organizzazioni e i loro dipendenti sui loro obblighi derivanti dal GDPR e dalla normativa nazionale;
· sorvegliare l’osservanza del GDPR e delle policy interne in materia di data protection, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale e i relativi audit;
· fornire, se richiesto, un parere sulla valutazione d’impatto del trattamento sulla protezione dei dati e sorvegliarne lo svolgimento;
· cooperare con le autorità di controllo e fungere da loro punto di contatto per facilitare l’accesso, da parte di queste, ai documenti ed alle informazioni necessarie per lo svolgimento dei compiti del Data Protection Officer, nonché ai fini dell’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi alle stesse attribuite dal GDPR.
La nomina del DPO è obbligatoria in alcuni casi specifici, mentre in altri è facoltativa. I casi obbligatori sono tre:
1. Quando il trattamento è svolto da un’autorità pubblica o da un organismo pubblico.
2. Quando le attività principali (o primarie) dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”.
3. Quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati sensibili (condizioni di salute, orientamento sessuale, ecc.) o dati giudiziari (relativi a condanne penali e reati).
Un’azienda, che rientra nei casi di obbligatorietà, che non adempie all’introduzione di un DPO non solo incorre in severe sanzioni, sia pecuniarie (multe che possono arrivare sino al 4% del fatturato globale) che penali per il titolare del trattamento, ma anche a danni reputazionali non indifferenti, in quanto
dimostra mancanza di trasparenza e responsabilità nella tutela di informazioni personali preziose che clienti e partner hanno deciso di condividere, facendo venir meno il rapporto di fiducia.
L’evoluzione del DPO nello scenario futuro
Come abbiamo visto, il Responsabile della Protezione dei Dati o Data Protection Officer è una figura esperta dotata di skill giuridiche e legali, manageriali e tecnico-informatiche. Un ruolo delicato, con competenze trasversali altamente specifiche, che in un’azienda non è facilmente individuabile tra le risorse già presenti e che non sempre è possibile mantenere costantemente aggiornato.
Basti pensare a due casistiche:
· L’evoluzione delle minacce informatiche e degli attacchi cyber. Un DPO dovrebbe essere costantemente aggiornato sulle nuove minacce che espongono i dati che si occupa di tutelare, e dovrebbe quindi lavorare in simbiosi con un’altra figura specialistica, il Chief Information Security Officer (CISO), per comprendere come evolve il trattamento dei dati e come applicare le normative emergenti in merito. Tuttavia, come evidenzia un recente rapporto di Federprivacy, spesso DPO e CISO viaggiano su binari paralleli, sia a causa di lacune organizzative nelle imprese, indicate da quasi la metà dei professionisti (48,4%), che per mancanza di adeguata formazione, richiesta da oltre 3 professionisti su 4. Uno scenario che dunque aumenta il rischio di inadempienza per le imprese.
· Le implementazioni dell’AI. L’avanzare dell’intelligenza artificiale nelle aziende accrescerà l’importanza delle questioni legate alla protezione dei dati personali in settori sempre più trasversali all’interno di ogni organizzazione. L’acquisizione, la gestione e l’utilizzo di dati personali per l’addestramento degli algoritmi, l’output dei sistemi algoritmici, soprattutto quando sono strumentali all’adozione di decisioni automatizzate, e la progettazione di soluzioni intelligenti in conformità al principio della privacy by design diventano sempre più sfide quotidiane per le organizzazioni aziendali. I CISO che vorranno sfruttare queste nuove tecnologie, dunque, saranno sempre più chiamati a condividere le proprie attività con il DPO.
L’outsourcing del Data Protection Officer
L’esternalizzazione del Data Protection Officer rappresenta una scelta appropriata per la maggior parte delle aziende, consentendo loro di liberarsi degli oneri economici e organizzativi e garantendo al contempo l’adeguata autonomia a questa funzione, evitando potenziali conflitti di interesse interni. I principali vantaggi dell’outsourcing includono:
· Affidare l’attività e il ruolo del DPO a un team altamente specializzato, multidisciplinare e costantemente aggiornato, sulle normative e le best practice in materia di protezione dei dati, con competenze legali, tecnologiche, di processo e di sicurezza.
· Ridurre i costi rispetto all’assunzione di figure interne dedicate a singoli temi.
· Fornire un servizio customizzato in base alle esigenze specifiche e alla tipologia di business delle aziende clienti.
· Offrire un supporto continuativo al cliente per garantire la conformità alla normativa GDPR e rispettare i requisiti di imparzialità.
Soluzioni “DPO as a Service” offrono l’accesso a un Responsabile per la Protezione dei Dati esterno senza l’onere organizzativo ed economico associato a una figura interna all’azienda o all’organizzazione.
A cura di Maria Formato, Lead Consultant di Axitea