Rilevanza e costo del DPO nelle organizzazioni sanitarie

di | 22 January 2017

La normativa fissa la protezione dei dati come un problema generale di alta priorità, e obbliga le organizzazioni ad affrontare seriamente la protezione dei dati in maniera consapevole, delineando gli strumenti e le strategie per organizzarsi in modo coerente e contribuire per contrastare questa situazione di rischio generale.
Il GDPR definisce un approccio per la creazione di un sistema di protezione delle informazioni in cui la sicurezza è un valore predefinito, costantemente mantenuto sin dalla progettazione di un processo, basato sulla prevenzione e sulla consapevolezza. Uno dei principali strumenti per governare questo sistema è il responsabile della protezione dei dati – DPO.
Secondo le migliori pratiche, la designazione del DPO deve essere preceduta da un’attenta analisi documentata. Questa valutazione dovrebbe evidenziare gli aspetti legati alle responsabilità di tale ruolo, conflitti di interesse, costi e benefici.
Il DPO, infatti, non può ricoprire una posizione nella società che lo potrebbe portare ad un conflitto di interessi (GDPR Sez.4, Art. 38). In particolare, non può essere responsabile per le attività che contribuiscono alla definizione e gestione delle politiche di sicurezza del trattamento dei dati. Pertanto egli non è idoneo a ricoprire un ruolo di responsabilità diretta in materia di protezione dei dati.
La responsabilità per la protezione dei dati personali ricade sul Titolare (GDPR, Art.24) e sul Responsabile di Trattamento (GDPR, Art. 82).
Il DPO deve essere una figura che possiede una visione di alto livello. Egli può essere un dipendente dell’organizzazione o un esterno regolarizzato mediante un contratto specifico (Linee guida WP29 sui responsabili della protezione dei dati, Art. 2.4).
Come già ricordato, l’adozione di un DPO, interno o esterno, può dipendere da fattori quali la dimensione dell’azienda, l’esistenza delle competenze richieste già all’interno dell’organizzazione, l’esperienza e la cultura interna della privacy.
In aziende sanitarie di una certa dimensione e in cui vi è una maggiore cultura e consapevolezza in materia di protezione dei dati, la scelta del DPO deve ricadere su figure interne già esistenti, che possiedano competenze acquisite nel corso degli anni nel settore sanitario, in possesso di accreditamenti e certificazioni specifiche per il governo sicuro delle informazioni.

Il DPO è un attore significativo che svolge molteplici funzioni (GDPR, Art. 39):
– informare e consigliare gli attori che svolgono il trattamento dei loro obblighi in materia di protezione dei dati personali;
– monitorare la conformità, in particolare con il GDPR e con specifiche normative in materia di dati sanitari personali;
– attivare il Titolare ed il Responsabile di Trattamento per svolgere Data Protection Impact Assessment e monitoraggio (GDPR, Art. 35);
– cooperare con l’autorità Garante. Il DPO è l’interfaccia per chiedere pareri ufficiali e segnalare eventuali violazioni significative.

Il DPO gioca in una posizione strategica: deve essere una figura autorevole che ispira fiducia all’interno dell’azienda e anche all’esterno. Non un mero prestanome, ma un attore preparato in grado di capire i regolamenti e le tecnologie, con un background professionale certificato, in grado di sapere relazionarsi correttamente con l’organizzazione. Un protagonista fondamentale per la crescita dell’azienda.
Il costo di un responsabile della protezione dei dati in un’organizzazione sanitaria può iniziare da 80.000 EUR / anno, oltre a tutte le risorse necessarie per la sua sostenibilità. Per svolgere i suoi compiti, il DPO deve tenere conto dello stato dell’arte e dei costi di attuazione, sfruttando le risorse già esistenti in azienda (GDPR, Art. 32 comma 1). Non nominare il DPO prevede sanzioni fino a 10 milioni di euro (GDPR, Art. 83 comma 4).
Pur non avendo una responsabilità diretta per la gestione delle politiche di dati, è molto probabile che il DPO possieda una responsabilità civile e contrattuale nei confronti della società da cui dipende, in quanto le attività da lui previste hanno un impatto diretto sui processi e sul livello generale di conformità.
In ogni caso, è impossibile acquisire le competenze di un DPO con un corso di formazione di tre o quattro giorni. Anche per questo motivo, le organizzazioni sanitarie devono scegliere questo attore consapevolmente.

Categoria: Data Protection Officer Tag:, ,

Informazioni su Giampaolo Franco

Giampaolo Franco, degree in Computer Science, Certified Information Security Manager (CISM). Dr. Franco has more than 10 years of experience in governance, risk management, and compliance at Azienda Provinciale per i Servizi Sanitari (APSS, the main healthcare provider of the Autonomous Province of Trento). He is involved in several activities at APSS, including business continuity and disaster recovery, risk analysis, privacy compliance, awareness, internal / external audits, incident management, optimization and quality control of IT processes. Previous work experiences include project management, analysis and programming for several financial institutions. He has also been a consultant for the University of Trento, working in a project aimed to define organizational and security aspects related to the introduction of integrated models of digital teaching in school. Dr. Franco continues to pursue research, education and awareness activities related to information security for the Public Administration with remarkable passion and leadership. He is a member of the ISACA VENICE Chapter, Oracle Community for Security and contributor of Europrivacy. In 2016 he's the winner of the European Institute of Innovation & Technology - EIT Digital pre-incubation programme with a project on Art&Technology.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.