La tua organizzazione è pronta per il DPO?

La tua organizzazione è pronta per il DPO?

Le organizzazioni sono ormai a conoscenza della nuova General Data Protection Regulation UE (GDPR) che entrerà in vigore il 25 maggio 2018. Si tratta del più importante regolamento in materia di protezione dei dati mai approvato dall'UE (Irish Times, 2017).

L'obiettivo primario del regolamento è rafforzare i diritti degli individui (interessati) e creare finalmente la necessaria armonizzazione delle leggi per la protezione dei dati in tutti il mercato unico europeo. Il nuovo regolamento sarà valido unilateralmente in tutti i paesi membri dell’UE e comporterà importanti cambiamenti nel paesaggio normativo. L'introduzione di questo nuovo quadro europeo per la protezione dei dati presenta nuove sfide per le imprese, che dovranno immediatamente prepararsi per garantire l'ottemperanza alle nuove disposizioni in arrivo nel maggio 2018.

Il Regolamento impone obblighi nuovi e più rigidi alle organizzazioni relativamente alla raccolta e al trattamento dei dati personali, e introduce nuovi e maggiori diritti per gli individui. L'introduzione del regolamento rafforza la posizione dell'Europa nell'intento di adottare una politica estremamente protettiva per quanto riguarda il trattamento e il controllo dei dati personali dei cittadini europei.

Come accennato sopra, il regolamento introduce una serie di nuove protezioni. Uno dei principali requisiti avanzati dal regolamento è la nomina obbligatoria di un Data Protection Officer (DPO) dedicato. 

Il DPO sarà indipendente dall'organizzazione e risponderà alla Autorità preposta e non al consiglio di amministrazione dell'azienda. Il ruolo potrà essere affidato internamente a un dipendente oppure  esternamente a un fornitore di servizi terzo.

Chi avrà bisogno di un DPO?

La domanda che la maggior parte delle organizzazioni si sta ponendo è: la mia impresa deve avere un DPO?

In sintesi, sì. L'attuale impostazione prevede che tutte le organizzazioni necessitino di un DPO e dei suoi servizi, a meno che l'impresa non possa dimostrare il contrario. 

L'Articolo 37 della riforma specifica che la nomina di un DPO è necessaria nel caso di:

  • Enti pubblici che trattano e detengono la titolarità di dati personali
  • Titolare e responsabili del trattamento le cui attività core consistano in operazioni di trattamento dati che richiedano un regolare e sistematico monitoraggio di interessati su vasta scala
  • Attività core del titolare o del responsabile del trattamento consistenti nel trattamento su vasta scala di categorie speciali di dati

Ruoli e responsabilità del DPO

Sebbene l'Articolo 37 del GDPR non definisca di quali qualifiche un DPO debba essere in possesso, è richiesto che abbia conoscenze approfondite in materia di legge sulla protezione dei dati e che venga nominato sulla base di qualifiche professionali e sulla capacità di svolgere i compiti descritti nel Regolamento.

I ruoli e le responsabilità del DPO in base all'Articolo 39 sono:

  • Informare e fornire consulenza al titolare o al responsabile del trattamento e ai rispettivi dipendenti relativamente agli obblighi ai quali sono tenuti ad adempiere ai sensi del GDPR e di altre normative per la protezione dei dati
  • Monitorare l'ottemperanza al Regolamento generale sulla protezione dei dati e ad altre normative per la protezione dei dati, ivi comprese la gestione delle attività interne per la protezione dei dati, la formazione del personale addetto alla protezione dei dati e la conduzione di audit interni
  • Fornire consulenza relativamente alla valutazione d’impatto sulla protezione dei dati
  • Collaborare con l'autorità di vigilanza del titolare e del responsabile del trattamento
  • Fungere da referente per questioni relative al trattamento dei dati personali

Corsi sulla protezione dei dati

Nominare un DPO adeguatamente qualificato potrebbe rivelarsi difficoltoso per la maggior parte delle organizzazioni,  il bacino di candidati idonei a ricoprire tale funzione è infatti al momento limitato.

Il modo migliore per prepararsi per il ruolo di DPO è seguire i corsi di formazione IAPP sulla protezione dei dati, riconosciuti e certificati in tutto il mondo, quali il CIPP/E e il CIPM.

IAPP stima che nei prossimi mesi saranno necessari oltre 75.000 DPO per soddisfare i requisiti del nuovo GDPR.

Certified Information Privacy Professional Europe (CIPP/E)

 La qualifica Certified Information Privacy Professional/Europe fornisce una conoscenza globale del GDPR nonché la prospettiva necessaria per ottemperare alla nuova legislazione sulla protezione dei dati paneuropee e nazionali, la terminologia specifica e i concetti pratici relativi alla protezione dei dati personali e i flussi di dati transfrontalieri. La CIPP/E risponde al "COSA" della protezione dei dati e della privacy.

Ottenere la certificazione CIPP/E dimostra la comprensione del quadro ideologico e il possesso delle conoscenze relativi alla privacy in un contesto europeo, compresi concetti chiave come lo Scudo UE-USA per la privacy e il GDPR.

Cosa apprendono i candidati?

  • Introduzione alla protezione dei dati europea
  • Enti di controllo europei
  • Quadro legislativo
  • Conformità alla legge e al regolamento europei sulla protezione dei dati
  • Trasferimenti interni di dati

Perché la certificazione CIPP/E è utile alla tua organizzazione per garantire la conformità al GDPR?

Il CIPP/E è lo standard di riferimento nell'ambito della certificazione per la protezione dei dati in Europa, ed è la certificazione più riconosciuta nell'ambito della privacy. L'ottenimento della certificazione CIPP/E dimostra una conoscenza globale del GDPR e le competenze necessarie a garantire la conformità e l'efficacia nella protezione dei dati nell’UE e altrove.

Scopri di più sulla certificazione CIPP/E

Certified Information Privacy Manager (CIPM) 

La certificazione Certified Information Privacy Manager (CIPM) dota i professionisti della privacy e della protezione dei dati di tutti gli strumenti necessari per mettere in piedi, sostenere e gestire un programma di privacy a livello di impresa durante tutto il suo ciclo di vita. I CIPM conoscono i regolamenti sulla privacy e sanno come farli funzionare all'interno delle proprie organizzazioni.

  • Come creare una visione d'impresa
  • Come strutturare il team per la privacy
  • Come sviluppare e attuare un programma per la privacy
  • Come comunicare con gli stakeholder
  • Come misurare la performance
  • Il ciclo di vita operativo del programma per la privacy

In che modo il CIPM assiste la tua organizzazione nel garantire la conformità?

La certificazione CIPP/E in combinazione con la certificazione CIPM dimostra un'eccezionale competenza nell'adempiere ai requisiti di un Data Protection Officer. La certificazione CIPP/E attesta le conoscenze relative al quadro legislativo europeo di cui un DPO deve essere in possesso, mentre la certificazione CIPM fornisce le conoscenze teoriche necessarie per portare avanti la politica di protezione dei dati di un'organizzazione.  

Scopri di più sulla certificazione CIPM

L'introduzione del nuovo GDPR e delle relative sanzioni in caso di non conformità sono un segnale dell'intenzione dell'Europa di porsi come leader nella definizione di uno standard di riferimento globale in termini di legislazione per la privacy e la protezione dei dati. La protezione e la salvaguardia dei dati personali degli interessati è il principio fondamentale alla base di questa importante riforma che modificherà il panorama normativo di tutte le organizzazioni.

La riforma assegna maggiori responsabilità ai responsabili del trattamento dei dati personali dei cittadini europei. Il GDPR non interesserà solo le imprese europee ma anche tutte le imprese non europee che operano nel mercato europeo. 

Scopri di più sul contesto del GDPR e sulle potenziali sfide per le imprese.

Scarica il white paper