Mappa dell'Europa con lucchetto blu della privacy - nike gdpr

GDPR e DPO: una corsa ad ostacoli

Privacy, data breach, diritti dell’interessato… tutti termini che ormai, con l’avvento del nuovo Regolamento Europeo 2016/679, abbiamo sentito spesso rimbalzare su siti e testate specializzate. Con la sua entrata in vigore dal 25 maggio, la GDPR, o General Data Protection Regulation, ha posto non poche sfide ad imprese ed enti pubblici: recepire l’enorme mole di regole introdotte ha difatti prodotto una frenetica corsa all’adattamento, dove il rischio di caduta è più che concreto. Grandi, medie e piccole aziende: tutti, o almeno tutti coloro che gestiscono dati personali, sono soggetti all’impatto normativo. E il tempo stringe.

La direttiva europea in due parole

Gli aspetti normativi impattanti sono molteplici: si passa dall’accountability dei titolari del trattamento, a nuovi diritti – 12 in tutto – volti ad una maggiore tutela del singolo, fino ad arrivare alle soluzioni da adottare in caso di data breach. Viene poi creato il one stop shop, o sportello unico, con l’idea di snellire il processo di trattamento e garantire un approccio più uniforme alla raccolta dei dati. Probabilmente però, tra gli adempimenti a maggior impatto vi è la designazione di un responsabile della protezione dei dati personali, o Data Protection OfficerDPO -, figura già presente nelle organizzazioni più complesse, ma che adesso diverrà obbligatoria per tutta la pubblica amministrazione, e in molti casi anche in ambito privato.

La figura del DPO

La figura del DPO avrà un triplice ruolo fondamentale nella gestione della tutela dei dati: sarà infatti sia il consulente che fornirà pareri rispetto a diversi ambiti disciplinati dal Regolamento GDPR (es. pareri in caso di violazione dei dati personali, pareri su valutazione degli impatti in materia di privacy, etc.), sia   supervisore preposto a verificare lo stato della conformità alle norme, sia un focal point, ossia un referente unico verso i vertici della azienda e verso l’esterno. Nel regolamento europeo così come nelle recenti linee guida pubblicate ad aprile dal Gruppo europeo Garanti ex art. 29, emerge con forza l’auspicio che il DPO assuma il ruolo di “facilitatore” dei processi interni ed esterni, snellendo il processo di verifica. Egli dovrà essere altresì indipendente, autonomo, slegato dall’organizzazione al fine di risultare inattaccabile, e non dovrà ricevere istruzioni operative dal Titolare del trattamento. In ambito privato, l’articolo 37 co. 1 lettera b) prevede l’obbligo di designare il DPO quando le attività principali del titolare richiedono un monitoraggio regolare e sistematico su larga scala. Parliamo ad esempio di assicurazioni, di istituti di credito, di telecomunicazioni, di società di servizi informatici, così come di software house che forniscono e gestiscono app che usano la geolocalizzazione, o addirittura device indossabili che monitorano lo stato di salute.

Un aiuto da NIKE Group

Per supportare i nostri clienti ad adeguarsi a questo particolare aspetto della norma, noi di NIKE Group vogliamo offrire un supporto consulenziale ed operativo alla figura del DPO interno, nell’esecuzione delle sue funzioni core:

  • Funzione consulenziale, per l’adempimento alla Privacy, fornendo tempestivi aggiornamenti sull’evoluzione normativa e supporto nella predisposizione dei report sui rischi e sui controlli, o ancora per la progettazione di un programma di awareness e di training, nonché offrendo un aiuto consulenziale per la data breach notification e nella gestione della casistica del trasferimento di dati all’estero.
  • Funzione di sorveglianza, per la definizione e l’attuazione di programmi di compliance, definendo metodologie, strumenti più adatti e programmi di controllo da attuare, e fornendo altresì supporto alla verifica periodica della conformità alla GDPR, mediante attività di gap analysis, compliance assessment e rendicontazione ai vertici aziendali.
  • Funzione di Referente unico (focal point) per la gestione delle relazioni con l’esterno, affiancando il DPO nella gestione delle istanze con i diretti interessati (ivi comprese le richieste di esercizio dei diritti degli interessati) e nella gestione dei rapporti con l’autorità Garante.

L’adeguamento normativo è ormai alle porte: affidati all’esperienza di NIKE Group – The RegTech Company, richiedi tutte le informazioni alla mail info@nikegroup.it o visita il nostro sito www.nikegroup.it .