C’è posta per tech | Privacy. Buon compleanno Gdpr
0
0
A tre anni dall’entrata in vigore del regolamento sulla protezione dei dati, un approfondimento sulla figura del responsabile della protezione dei dati
Il regolamento sulla protezione dei dati personali (RGPD) o General Data Protection Regulation (GDPR) ha compiuto tre anni. L’infante, ormai, cammina sulle proprie gambe e noi vogliamo omaggiarlo con una brevissima panoramica della sua migliore idea: la figura del responsabile della protezione dei dati.
DATA PROTECTION OFFICER TRA SANTI E FALSI DEI
Se facessimo un sondaggio constateremmo che tutti, ma proprio tutti, almeno una volta, dal 25 maggio 2018 sino ad oggi, hanno sentito parlare del Data Protection Officer: alcuni perché ci lavorano a stretto contatto, altri perché sono stati obbligati a nominarlo, altri invece si sono imbattuti in questo termine per altre ragioni.
Sicuramente, tantissimi sono gli esperti, e non, che in tutto questo periodo si sono affannati a dire la loro, a pontificare, certe volte a demonizzare e cercare di descrivere il ruolo del Responsabile della Protezione dei dati.
Noi oggi abbiamo un obiettivo, che non è quello di ammorbarvi con le solite spiegazioni accademiche. Proveremo a darvi dei numeri e cercheremo di fare un po’ di ordine nei meandri della materia.
Indubbiamente, il recentissimo documento di indirizzo pubblicato il 24 maggio dal Garante per la Protezione dei Dati Personali denota come, a distanza di tre anni, i contorni di questa figura non siano ancora del tutto chiari e definiti.
La disparità tra pubblico e privato
All’esito di una analisi portata avanti dall’osservatorio per la Cybersecurity & Data Protection del Politecnico di Milano si è scoperto che:
• il 57 % delle organizzazioni, grandi e pmi, ha formalmente al suo interno un DPO;
• Nel 2020, il 52% di queste ha destinato al DPO un budget cui attingere per lo svolgimento delle sue mansioni;
• il 10% delle imprese non sa chi sia e cosa faccia e né, tantomeno, prevede di introdurlo nell’organico.
Questo scenario, piuttosto rassicurante, cambia radicalmente per le Pubbliche Amministrazioni.
In questi contesti, l’obbligo di nomina previsto dal Regolamento non ha minimamente portato ad un accrescimento delle percentuali che, purtroppo, si attestano intorno al 17%.
Da questi dati, appare evidente il totale disallineamento tra settore pubblico e privato rispetto alla consapevolezza e all’indifferibilità assoluta per le organizzazioni di dotarsi di un DPO.
Nel pubblico, la presenza dell’RPD è vissuta come un mero adempimento burocratico o una zavorra da dover gestire.
Basti pensare, al riguardo, che, secondo una stima effettuata dal Garante, ad oggi circa 1.034 Comuni (1/8 delle Amministrazioni dunque) non hanno ancora comunicato i dati di contatto del Responsabile e, alcune centinaia, non hanno provveduto ad effettuare gli opportuni aggiornamenti.
FUNZIONE SOCIALE
A nostro avviso il dpo svolge, prima di tutto , una funzione di tipo sociale; quella cioè di risvegliare le coscienze e far comprendere alle realtà, nelle quali opera, l’importanza di tutelare i dati personali.
Per il Regolamento, il DPO funge da punto di contatto con l’Autorità Garante e cammina affianco al titolare affinché le attività di trattamento siano conformi ai princìpi e alle indicazioni dello stesso.
I suoi compiti sono indicati in maniera puntuale nel GDPR e sono possono essere identificati nell’acronimo ISC: informare, sorvegliare e cooperare.
INFORMARE
Il DPO informa e consiglia come un consulente, non come un menagramo.
Il GDPR dice che il DPO deve fornire consulenza tecnica e legale al titolare del trattamento o al responsabile e agli addetti affinché rispettino il Regolamento europeo. Quindi il suo compito, è prima di tutto, quello di informare i soggetti su come raccogliere, trattare e conservare i dati personali in modo conforme: aiutarli cioè a provare la loro accountability. In questo senso, gli è richiesto di calarsi nel contesto all’interno del quale opera.
Se l’azienda che lo ha nominato è la grande impresa con ufficio privacy staffato, la banca, l’ospedale con il suo ufficio legale o il CED di una Amministrazione Centrale il DPO dovrà avere approccio totalmente diverso da quello che gli sarà chiesto, laddove, venisse nominato da un Comune con pochi abitanti o da una minuscola organizzazione che nella maggior parte delle situazioni ha dimestichezza con la materia.
In questo caso, il Responsabile avrà il dovere di far capire, in modo semplice, cosa si intende per privacy, perché i dati personali vanno protetti, cos’è una violazione, come e quando segnalarla e quali valutazioni fare per ridurre i rischi di danni agli interessati.
Se il DPO si limita a citare gli articoli, senza valutare il caso specifico e senza usare un linguaggio chiaro, indicazioni semplici e concrete, non sta facendo bene il suo lavoro.
SORVEGLIARE
Il DPO sorveglia e se fa bene il suo lavoro deve anche essere un po’ fastidioso.
Il GDPR dice che il DPO deve sorvegliare, mettere in atto attività di controllo sui responsabili e sugli addetti durante i processi. Insomma, deve essere un po’ come la Signora in Giallo: ficcare il naso dappertutto fino a quando non trova il colpevole, perché, il trattamento dei dati personali è una cosa seria ed è giusto che tutti lo capiscano.
Il Data Protection Officer consiglia, il titolare del trattamento decide. Una volta che il DPO ha spiegato, informato, consigliato titolari, addetti e responsabili, supervisionato e validato come l’organizzazione raccoglie e tratta i dati, la decisione sulle contromisure da adottare e, ad esempio, se segnalare, o meno, una violazione spetta al titolare.
E’ importante tenere i ruoli separati: Il titolare consulta il DPO, chiede un consiglio sulle azioni da intraprendere, il Responsabile suggerisce le mosse da adottare ma, ricordiamoci che il suo è un consiglio. Mai un ordine. La responsabilità è del titolare, è lui che decide.
COOPERARE
Il DPO deve cooperare: è il punto di collegamento tra autorità e titolare del trattamento
Il DPO, da ultimo, ha un ruolo di cooperazione. Deve fungere da contatto tra l’autorità di controllo ed il titolare del trattamento. La sua è una figura indipendente e di garanzia, che lavora a stretto contatto con l’autorità per ogni questione relativa al trattamento dei dati personali.
L’ambito di lavoro del DPO è dunque vastissimo e a lui si richiedono competenze trasversali e numerose.
Non è un lavoro facile e non è neanche semplice, per lo stesso, riuscire ad affermarsi all’interno di determinati contesti, pubblici o privati che siano. Lungi da noi responsabilizzare, unicamente, le Pubbliche Amministrazioni.
Molte sono le situazioni in cui ci si imbatte in DPO incompetenti, che vendono la privacy al chilo e che hanno poca esperienza e ancor meno dimestichezza. In altri casi, però, senza nasconderci dietro ad un dito, questa entità è vista come un elemento di disturbo, come qualcuno che deve essere sopportato e non supportato, come qualcuno a cui non è importante rispondere alle email, come qualcuno che non è il caso consultare.
Noi riteniamo che in entrambi gli scenari se questo approccio non cambia è difficile per l’RPD portare a termine, serenamente e conformemente, il suo operato.
