lbs
Data Protection Officer, i rischi e le sfide a tre anni del GDPR
Data Protection Officer, i rischi e le sfide a tre anni del GDPR
lbs

Quali sono le sfide che il Responsabile per la Protezione dei Dati si troverà ad affrontare? Come prepararsi a ricoprire questo ruolo? Un webinar e un Flex Executive Programme targato Luiss Business School cercano di tracciare la rotta

Dati sanitari, blockchain, lotta ai cambiamenti climatici: sono queste alcune delle sfide che il Data Protection Officer si trova oggi ad affrontare. Ma il punto focale del suo percorso evolutivo sta in una parola: accountability, cioè la responsabilizzazione del titolare del trattamento dei dati personali da parte di aziende e pubblica amministrazione.

In questi giorni il Garante della Privacy ha approvato e aggiornato nuove FAQ dedicate alla figura proprio per mettere al centro il necessario cambio di filosofia. Il Dpo è un controllore: l’occhio dell’Autority sui titolari del trattamento di dati personali.

Chi è e cosa fa il Data Protection Officer

Il Data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, noto anche come GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio 2016. Figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi.

La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Formazione, chiave dell’accountability

Secondo un’analisi condotta da Agenda Digitale, dall’istituzione della figura del Data Protection Officer l’Italia non ha schierato persone preparate. La funzione è stata affidata a professionisti improvvisati, poco consci del ruolo importante che vanno a ricoprire.

«Siamo in un periodo storico fortemente associato all’importanza dei dati, che riflette sugli spostamenti dei cittadini e su tutto l’ambito sanitario e personale legato al Covid. È un trend che sta prendendo piede con particolare focus sulle multinazionali: la privacy è sempre più importante – spiega Enzo Peruffo, Associate Dean for Education Luiss Business School – Il corso avanzato in “Gestione del Rischio Privacy: soluzioni tecniche ed operative di controllo e monitoraggio” del Flex Executive Programme in Governance della Privacy rappresenta la costante evoluzione della nostra offerta formativa».

Il percorso formativo Luiss Business School è disegnato per favorire l’acquisizione di metodi e strumenti per operare con successo nella gestione del principio di accountability e del concetto di Privacy by design, attraverso la metodologia Flex che prevede il 90% delle lezioni in distance learning.

Quanto conta l’indipendenza del Dpo

«Il Gdpr è condensabile in una parola: accountability – sottolinea Ginevra Cerrina Feroni, Vice Presidente dell’Autorità Garante per la Protezione dei Dati Personali. – Ma cosa significa nel concreto? Questa parola è un mastodontico cambio di filosofia perché la responsabilizzazione circa il trattamento dei dati si sposta sul titolare: il Dpo assiste chi assume le decisioni in tutte le fasi cruciali della progettazione e verifica gli eventuali rischi del trattamento, seguendo i principi del Gdpr».

Vent’anni dopo la prima normativa sulla privacy, il legislatore europeo è tornato a trattare la materia dei dati personali in un contesto socio economico completamente diverso. Il digitale è esploso, il contesto socio-economico è cambiato. Oggi dietro qualunque operazione effettuata in rete c’è una rete complessa di trattamenti. Occorreva inquadrare il fenomeno da un punto di vista nuovo.

Dato che è il titolare a scegliere le finalità del trattamento e le modalità del trattamento, è lui che deve valutare il rischio al quale il suo trattamento espone gli interessati, sin dalla progettazione by desing. Il titolare deve avere in mente sin da quando inizia a pensare di trattare i dati le misure da adottare in modo da dare attuazioni al Gdpr e non produrre pagine di giustificazioni ex post. Il Dpo deve verificare solo la correttezza dei metodi e delle operazioni.

«I Dpo sono l’avamposto dell’autorità nel variegato tessuto economico e istituzionale del Paese. Dall’entrata in vigore del Gdpr, non può esistere un garante aggiornato e avveduto senza questa rete di Dpo che operano nella specificità dei diversi trattamenti. Noi, come Garante, vediamo con gli occhi dei Dpo».

La formazione torna ad essere un argomento centrale perché, oltre a rivolgersi a professionisti competenti, «il Dpo deve formare il titolare perché sia accountable – spiega Francesco Giorgianni, Global Data Protection Officer, Enel Group – Il titolare fa business, persegue l’interesse aziendale, e il Dpo lo aiuta a far sì che il primo obiettivo coincida con il rispetto dei diritti delle persone di cui svolge il trattamento dei dati personali».

7/7/2021

Data pubblicazione
7 Luglio 2021
Categorie
Inside News & Eventi
Tematiche
Big Data competenze