Il DPO è una squadra non un singolo consulente

Il data protection officer DPO non è un uomo o una donna ma un team. Le competenze sono troppe e non potranno mai essere riunite in un solo soggetto, per quanto preparato e certificato.

Per accettare un simile incarico da solo e adempiere agli innumerevoli compiti di consulenza e verifica che la disciplina gli attribuisce – che spaziano dal settore informativo a quello giuridico, passando per le certificazioni, l’analisi dei flussi di dati aziendali, la valutazione dei rischi e dell’impatto del trattamento sui diritti degli interessati, le misure di sicurezza fisiche, logiche ed organizzative, le verifiche periodiche dell’affidabilità del sistema (inteso nel suo complesso, non solo dal punto di vista informatico), i rapporti con le altre norme che si intrecciano con la tutela dei dati e delle informazioni, i codici etici e di condotta, gli organismi di vigilanza, la formazione del personale – il data protection officer dovrebbe essere onnisciente o molto superficiale e quindi inconsapevole delle reali responsabilità connesse al suo ruolo.

Il problema, peraltro, non riguarda necessariamente realtà medio–grandi, come si potrebbe essere portati a pensare, poiché il Regolamento Europeo 679/2016 non ne fa un problema quantitativo ma pone l’attenzione sul trattamento di dati su larga scala o che presentano rischi specifici. Ben potrebbe, pertanto, una grande azienda, strutturata su diverse unità locali e sedi all’estero, non avere particolari problemi di trattamento, perché collegata a poche aziende clienti e fornitrici, senza trattare dati personali su larga scala o che presentano rischi specifici, e risultare invece molto più critica la gestione di una piccola realtà con pochi addetti che però elabora grandi quantità di dati per finalità di marketing e profilazione.

Il data protection officer DPO, pertanto, deve conoscere anche le logiche aziendali, inserirsi nelle logiche di lavoro quotidiane, comprendere le criticità che flussi di dati apparentemente privi di rischi potrebbero invece avere per le concrete modalità di trattamento. E questo dovrebbe fare ogni giorno, in tutte le sedi, coordinandosi con i responsabili dei singoli trattamenti, il responsabile IT, il direttore commerciale e gli altri dirigenti e funzionari più o meno coinvolti nel trattamento. Senza contare le Autorità di controllo e tutti gli altri soggetti (come gli outsourcer e i consulenti esterni) direttamente o indirettamente facenti parte del complesso sistema che, in ogni azienda, tratta dati personali.
Fonte: Key4Biz

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Il nostro sito non usa cookie di profilazione. Puoi continuare a navigare in questo sito senza modificare le impostazioni dei cookie o cliccare su "Accetta" permettendo il loro utilizzo. Maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi