Possiamo continuare a discutere sul ruolo e la collocazione del Data Protection Officer in azienda, alla luce del nuovo Regolamento Privacy Europeo. E lo faremo. Ma quando si pronuncia Luca Bolognini, poi le chiacchiere stanno a zero.
Martedì 10/5 a Torino, all’Unione Industriali per il convegno “Il regolamento Privacy Europeo in Azienda” organizzato da Sistemi Uno, trecento professionisti e aziende hanno beneficiato di interventi di altissimo livello. Per primo proprio l’Avv. Bolognini, che ha toccato a volo d’uccello 15 diversi temi rilevanti del GDPR, dicendo anche alcune cose non proprio scontate. Sul DPO ha chiarito (spero una volta per tutte…) che si tratta di una figura di vigilanza, che non applica la privacy in azienda e non coordina le attività gestionali. Sarà quindi necessariamente una figura diversa dal Privacy Officer eventualmente già in organigramma, ma anche dal “Data Protection Designer”, altra figura non prevista dal GDPR ma che diventerà necessaria se si vorrà applicare correttamente la Privacy by Design.
Ha approfondito l’analisi l’Avv. Balboni: il DPO sarà un organismo super partes, “alla tedesca”, che avrà funzioni di controllo (addirittura “un auditor”). Balboni ha introdotto anche il concetto di “DP OFFICE” inteso come un team interdisciplinare che risponda al DPO e comprenda professionalità di IT security, di comunicazione (utili ad es. per gestire data breach) e di DP DESIGNER, figura che avrà in carico le DPIA secondo le metodologie di analisi del rischio (è stato citato il mondo ISO). La privacy in azienda dovrà infatti essere sempre più un processo (e sempre meno una policy), per cui necessita di essere progettata. Sarà anche necessario disporre di strumenti tecnologici per raccogliere le prove documentali in ottica di accountability. Quanto al DPO, secondo Balboni sarebbe opportuno collocarlo all’interno dell’azienda (magari tenendo all’esterno l team di specialisti di supporto): infatti un DPO esterno, magari non dedicato ma condiviso da troppe società, rischia di essere poco credibile. A mio parere questo è vero soprattutto per le grandi multinazionali, che sono il tipo di cliente a cui fanno prevalentemente riferimento professionisti del livello di Bolognini e Balboni.
Tornando all’intervento di Bolognini, segnalo altri 3 punti salienti. DPIA: l’analisi dei rischi non dovrà essere solo “ingegneristica” ma considerare anche i rischi che il trattamento comporta per i diritti e le libertà fondamentali, che restano il vero obiettivo della data protection. Sanzioni: quelle più rilevanti sono per la violazione dei principi sanciti dall’art.5, a differenza della situazione attuale che vede sanzionate le carenze nelle misure di sicurezza. Da ultimo, la visione secondo cui le nuove misure di sicurezza (es. pseudonimizzazione) potranno tradursi in opportunità per trattamenti altrimenti illegittimi, quindi big data analysis senza consenso.