Possiamo continuare a discutere sul ruolo e la collocazione del Data Protection Officer in azienda, alla luce del nuovo Regolamento Privacy Europeo. E lo faremo. Ma quando si pronuncia Luca Bolognini, poi le chiacchiere stanno a zero.
\nMarted\u00ec 10\/5 a Torino, all’Unione Industriali per il convegno “Il regolamento Privacy Europeo in Azienda” organizzato da Sistemi Uno, trecento professionisti e aziende hanno beneficiato di interventi di altissimo livello. Per primo proprio l’Avv. Bolognini, che ha toccato a volo d’uccello 15 diversi temi rilevanti del GDPR, dicendo anche alcune cose non proprio scontate. Sul DPO ha chiarito (spero una volta per tutte…) che si tratta di una figura di vigilanza, che non applica la privacy in azienda e non coordina le attivit\u00e0 gestionali. Sar\u00e0 quindi necessariamente una figura diversa dal Privacy Officer eventualmente gi\u00e0 in organigramma, ma anche dal “Data Protection Designer”, altra figura non prevista dal GDPR ma che diventer\u00e0 necessaria se si vorr\u00e0 applicare correttamente la Privacy by Design.<\/p>\n
Ha approfondito l’analisi l’Avv. Balboni: il DPO sar\u00e0 un organismo super partes, “alla tedesca”, che avr\u00e0 funzioni di controllo (addirittura “un auditor”). Balboni ha introdotto anche il concetto di “DP OFFICE” inteso come un team interdisciplinare che risponda al DPO e comprenda professionalit\u00e0 di IT security, di comunicazione (utili ad es. per gestire data breach) e di DP DESIGNER, figura che avr\u00e0 in carico le DPIA secondo le metodologie di analisi del rischio (\u00e8 stato citato il mondo ISO). La privacy in azienda dovr\u00e0 infatti essere sempre pi\u00f9 un processo (e sempre meno una policy), per cui necessita di essere progettata. Sar\u00e0 anche necessario disporre di strumenti tecnologici per raccogliere le prove documentali in ottica di accountability. Quanto al DPO, secondo Balboni sarebbe opportuno collocarlo all’interno dell’azienda (magari tenendo all’esterno l team di specialisti di supporto): infatti un DPO esterno, magari non dedicato ma condiviso da troppe societ\u00e0, rischia di essere poco credibile. A mio parere questo \u00e8 vero soprattutto per le grandi multinazionali, che sono il tipo di cliente a cui fanno prevalentemente riferimento professionisti del livello di Bolognini e Balboni.<\/p>\n
Tornando all’intervento di Bolognini, segnalo altri 3 punti salienti. DPIA: l’analisi dei rischi non dovr\u00e0 essere solo “ingegneristica” ma considerare anche i rischi che il trattamento comporta per i diritti e le libert\u00e0 fondamentali, che restano il vero obiettivo della data protection. Sanzioni: quelle pi\u00f9 rilevanti sono per la violazione dei principi sanciti dall’art.5, a differenza della situazione attuale che vede sanzionate le carenze nelle misure di sicurezza. Da ultimo, la visione secondo cui le nuove misure di sicurezza (es. pseudonimizzazione) potranno tradursi in opportunit\u00e0 per trattamenti altrimenti illegittimi, quindi big data analysis senza consenso.<\/p>","protected":false},"excerpt":{"rendered":"
Possiamo continuare a discutere sul ruolo e la collocazione del Data Protection Officer in azienda, alla luce del nuovo Regolamento Privacy Europeo. E lo faremo. Ma quando si pronuncia Luca Bolognini, poi le chiacchiere stanno a zero. Marted\u00ec 10\/5 a Torino, all’Unione Industriali per il convegno “Il regolamento Privacy Europeo in Azienda” organizzato da Sistemi\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":64,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,5,7,3],"tags":[10],"class_list":["post-1610","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer","category-impact-risk-and-measures","category-privacy-by-design","category-roles-and-liabilities","tag-dpo"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1610","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=1610"}],"version-history":[{"count":3,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1610\/revisions"}],"predecessor-version":[{"id":1616,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1610\/revisions\/1616"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=1610"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=1610"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=1610"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}