Enti pubblici e settore privato in affanno con la privacy

Norme privacy oscure mettono all’angolo gli enti pubblici e anche il settore privato. I dati rilevano che dal 2020 al primo quadrimestre 2021 oltre il 71% delle sanzioni per violazioni della privacy è stata irrogata a Pubbliche amministrazioni e il 28,8% ad aziende. In quel periodo sono state emanate un totale di 80 ordinanze-ingiunzioni, di cui 57 a pubbliche amministrazioni e 23 a privati. Se le sanzioni alle aziende private arrivano, come abbiamo visto, a importi milionari, quelle rivolte alle pubbliche amministrazioni preoccupano per la loro capillare diffusione, sia tra amministrazioni centrali sia tra enti locali. Riscontriamo quindi Enti Pubblici e il settore privato in affanno con la gestione privacy. I numeri riportati sono stati elaborati contando i provvedimenti pubblicati sul sito del Garante della privacy. Si evince inoltre che il numero delle sanzioni inflitte alle amministrazioni civiche tocca addirittura il 31%.

Gli enti pubblici sanzionate sono:

  • l’arma dei carabinieri
  • una capitaneria di porto 
  • il ministero dell’interno
  • scuole e università 
  • ospedali e aziende sanitarie 
  • comuni

Siamo definitivamente entrati dal 25 maggio 2018 nell’era della privacy europea pianificata sulla base del Regolamento Ue 2016/679 (GDPR). Pare però che il regolamento Ue non abbia ancora realizzato l’unificazione normativa del vecchio continente in materia di protezione dei dati. Anzi, ci troviamo in uno stato confusionale dove confluisce l‘unico corpo normativo europeo, generico, con in contesti nazionali molto differenti.

I dati rilevati evidenziano quanto sia difficile essere in regola con la privacy, in mancanza di chiarezza ed uniformità. A pagare lo scotto di questa situazione sono cittadini, imprese e pubbliche amministrazioni. Sembra sia tanto difficile al punto che anche le amministrazioni statali centrali sono state punite con sanzioni pecuniarie.

Questi effettivi tre anni del GDPR, hanno fatto emergere che i titolari di trattamento siano in affanno per riuscire a stare al passo con norme forse troppo avanzate. Non è facile per enti pubblici e il settore delle aziende private sapere come gestire la privacy.

Questa constatazione vale prioritariamente per le pubbliche amministrazioni e anche per le imprese, nel cui ambito tra i sanzionati non ci sono solo gli operatori di telecomunicazioni e di marketing, ma anche operatori della ristorazione, dei trasporti e della distribuzione.

Considerando quindi tutto ciò, il Garante ha pubblicato il provvedimento n.186 del 29 aprile 2021 con lo scopo di fornire chiarimenti necessari riguardo designazione, posizione e compiti del DPO nelle pubbliche amministrazioni. (vedasi il nostro precedente blog)

Cosa può fare la pubblica amministrazione per scongiurare ispezioni e sanzioni?

Regolamento degli uffici 

In tutti gli atti e provvedimenti amministrativi di regolamentazione e pianificazione degli uffici è da tener presente la funzione del DPO. Trattandosi di un incarico che deve operare senza conflitti di interessi, è questa la sede per esplicitare le ragioni della scelta. Inoltre vanno individuate i criteri di scelta, le garanzie di autonomia e indipendenza, le ripercussioni a proposito di rapporti di gerarchia, la posizione nell’organigramma, la durate dell’incarico e le eventuali modalità di successione.

Scelte organizzative 

La grande sfida è evitare conflitti di interesse sia quando si sceglie un DPO interno sia quando si incarica un esterno. Il Garante non esclude a priori la possibilità di scegliere un DPO interno, ma se l’ente pubblico opta per quella possibilità, deve necessariamente premurarsi delle giustificazioni poste alla base di tale scelta. In più deve aver disciplinato come gestisce il possibile conflitto di interessi. Un esempio calzante per l’ipotesi di conflitto d’interessi è la nomina da DPO di un fornitore che già fornisce altri servizi. Una scelta simile è ovviamente sconsigliata. Tuttavia, se si opta per una nomina del fornitore esistente bisogna motivare la scelta e queste motivazioni devono fare appello non soltanto alla professionalità dell’operatore, ma anche alle cautele a presidio della autonomia e indipendenza della funzione di DPO. Significa che il contratto con il fornitore deve contenere una serie di clausole cautelative quali: 

  • la assicurazione che nell’organizzazione della società esterna le attività di DPO vengano svolte da un soggetto che non svolge mansioni di fornitura di altri servizi;
  • le tutele del referente da possibili atti ritorsivi o negativi da parte del suo datore di lavoro;
  • continuità dell’attività del referente DPO a prescindere dalle vicende della fornitura di altri servizi.

Inoltre, deve essere gestito l’obbligo da parte del DPO di comunicare all’ente ogni evenienza che metta in dubbio la sua autonomia, l’obbligo di astenersi da atti e condotte in conflitto di interessi, le modalità per il subentro di altri quando non sarà possibile risolvere il conflitto. 

Le gare degli enti pubblici

L’Ente pubblica applica, nella scelta del DPO esterno, le regole stabilite dal codice dei contratti pubblici. Quindi deve indicare i requisiti di partecipazione e i criteri di selezione. Il provvedimento del Garante invita alla cautela. Poiché sono illegittime le cause di esclusione dalla partecipazione in relazione al mancato possesso di un titolo abilitante. La ragione sta nel fatto che non c’è un titolo abilitante specifico per il ruolo da DPO. Non sarà quindi possibile riservare la partecipazione ad una determinata categoria professionale o ai possessori di certificazioni volontarie.

Ma se questo sembra facile, basta non inserire clausole restrittive, la difficoltà sta nel trovare i criteri per valutare le candidature presentate e come pesare i diversi parametri. I parametri possono derivare da titoli di studio, certificazioni, esperienza nel campo o anni di lavoro in posizioni analoghe. Un ulteriore elemento da valutare è la durata del servizio e il compenso. Il Garante, a tale proposito, ha fornito l’indicazione del periodo di tre anni oltre a non aggiudicare la gara a ribasso del prezzo.  

Conclusione

Anche se a distanza di cinque anni dall’entrata in vigore del Gdpr e di tre anni dalla piena operatività dello stesso mancano importanti pezzi di normativa, il Garante ha fornito chiare indicazioni al fine di adempire al GDPR. Sta ora alle pubbliche amministrazioni di adoperarsi con controlli e verifiche al fine di evitare controlli e sanzioni. Ormai abbiamo compreso che la corretta gestione dei dati personali, sia nella pubblica amministrazione sia nel settore privato, è un compito importante e da affidare a chi di competenza. L’improvvisazione e le scelta basate su favoritismi o a ribasso del costo, si sono rivelato in tanti casi, molto più costosi. Sia le enti pubblici sia il settore privato devono velocemente affrontare la gestione dei dati per non rimanere in affanno con la privacy.

Per approfondimenti specifici o semplice richieste d’informazioni in generale prenoti il suo appuntamento personale con un nostro consulente.

La prima consulenza è sempre gratuita.

Fonte: Federprivacy.it

Le linee di indirizzo sul DPO nella pubblica amministrazione

Il Garante per la Privacy ha pubblicato un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati in ambito pubblico.

Dopo tre anni dalla piena applicazione del Regolamento UE, il Garante ha rilevato l’esigenza di fornire chiarimenti perché risultano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura. Sembra che il ruolo del DPO nelle pubbliche amministrazioni non sia affidato correttamente o di fatto.

Nel documento si chiarisce quindi diverse domande ancora aperte. Qual è il ruolo effettivo del Responsabile per la protezione dei dati nella PA? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con gli altri incarichi o può incorre in situazioni di conflitto di interessi? Come deve supportare e coinvolgere, e per quali compiti?

La nomina del DPO è obbligatoria nell’ambito pubblico 

Tale figura, che tutte le PA sono obbligate a nominare (art. 37 Gdpr), costituisce un riferimento fondamentale per garantire un corretto approccio al trattamento dei dati personali. Innanzitutto, se si tiene presente la crescente necessita di trasformare anche le pubbliche amministrazioni verso i processi informatici e digitali.  

Un DPO esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, una risorsa essenziale per le PA e un valido punto di contatto per l’autorità di controllo.

Stop alla incetta di nomine di DPO 

Il Garante mette quindi un freno alla nomina di Responsabile per la protezione dei dati a fornitori esterni di Servizi technology e di avvocati che difendono l’ente.

Risulta illegittimo riservare le gare per scegliere tale figura a chi ha un particolare titolo (laurea, certificazione, iscrizione a un albo). La designazione del DPO per le pubbliche amministrazioni è un compito complesso e di grande responsabilità. 

Di seguito le indicazioni più rilevanti fornite dal Garante della privacy con il «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico» che si trova in allegato al provvedimento del Garante n. 186 del 29/4/2021. È doveroso sottolineare che è comunque l’ente a sceglie il referente DPO a sua discrezione e responsabilità.

Chi può essere designato come DPO

  • Cumuli di incarichi – Sono da evitare i troppi incarichi allo stesso Responsabile per la protezione dei dati esterno. L’ente dovrà verificare il numero di incarichi già ricoperti dalla società o dal professionista prescelto oltre alla specializzazione. In caso l‘ente scelga una società, dovrà valutare la presenza di adeguate risorse a supporto del DPO nominato.
  • Il difensore legale – Il Garante invita le Pubbliche amministrazioni di non nominare un DPO che, contemporaneamente, svolge per le medesime il ruolo di difensore in giudizio.
  • Il fornitore IT – Particolare attenzione viene posta al settore IT, poiché la regola prevede di non designare come DPO un soggetto esterno che già fornisce servizi all’ente. Nel caso non si possa fare diversamente, l’ente deve dichiarare per iscritto la motivazione di tale scelta e che non svolgono i compiti connessi alla fornitura (rigida separazione tra attività di DPO e gli altri servizi). 

La posizione del DPO

  • I conflitti di interesse – Un punto fondamentale nella protezione dei dati, derivante dal GDPR (art.38, comma 3), che richiede una attenta valutazione caso per caso. Si distingue quindi gli enti di carattere nazionale e/o territoriali di grandi dimensioni, nei quali sono incompatibili il direttore risorse umane, contabilità o il responsabile IT al ruolo di DPO interno. Negli enti più piccoli, si deve fare un’attenta riflessione caso per caso, esplicitando le ragioni della nomina di dipendenti. Se si tratta invece di componenti di organi collegiali, ci sono maggiori spazi, sempreché sia prevista l’astensione in caso di conflitto di interesse o cautele simili.
  • La gerarchia – L‘autonomia di giudizio e indipendenza deve essere garantita e quindi va preferito, per la nomina del DPO interno, un dirigente o a un funzionario di alta professionalità. Nel caso l’ente scelgaun funzionario, occorre l’adozione di idonee garanzie di indipendenza, considerato che il DPO potrebbe valutare la condotta di un dirigente.
  • I titoli – Non è consentito scegliere il DPO in base a determinati titoli, quali laurea, iscrizione ad un albo professionale, certificazione o altro. Persino la certificazione volontaria (UNI 11697) è soltanto un elemento utile, ma non un’autorizzazione a priori.
  • Il referente – Se l’ente affida il servizio di DPO a una società, va indicata una persona specifica come referente. Il referente indicato da DPO, persona giuridica, non deve necessariamente essere undipendente della società incaricata. È opportuna una clausola contrattuale che obblighi la persona giuridica affidataria a comunicare all’ente qualsiasi variazione della persona fisica.

Ricompenso e durate dell’incarico

  • La durata dell’incarico – Si ritiene come congruo periodo di incarico da DPO, la durata contrattuale intorno ai tre anni. Trattandosi di una linea guida, sta all’ente pubblico determinare la durata. In ogni caso deve essere rispettato il principio di rotazione, nell’affidamento dei contratti pubblici di importo inferiore alle soglie comunitarie.
  • Il compenso – Nessuna indicazione da parte del Garante sui compensi, ma l’invito a non aggiudicare il bando in base al criterio del prezzo più basso.
  • La pubblicazione – I dati di contatto del DPO devono essere pubblicati sul sito web delle pubbliche amministrazioni. Tali dati devono essere facilmente riconoscibile, in una sezione dedicata, nella sezione dell’organigramma e ai relativi contatti. Non c’è alcun obbligo di pubblicare il nome del DPO. Consigliamo di attivare una casella postale dedicata al DPO.
  • La comunicazione al Garante – I dati di contatto del DPO nominato devono essere comunicati al Garante tramite l’apposita sezione sul sito web. Nella stessa sezione vanno comunicati anche le eventuali successive variazioni come per esempio nel caso di cambio nomina. È prevista una sanzione amministrativa per il mancato aggiornamento dei dati di contatto del DPO, sia sul sito web dell’ente sia nella relativa comunicazione al Garante.

Conclusione

In base alle linee guida del Garante, sarà quindi necessario per tante amministrazioni pubbliche di effettuare una revisione degli incarichi affidati. E, per chi non ha ancora conferito l’incarico, di attivarsi al più presto. Poiché il DPO assolve funzioni di supporto, di controllo, consultive e formative e che deve essere coinvolto tempestivamente e adeguatamente in tutte le attività che riguardano la protezione dei dati personali.

Oltre a dedicarsi alle evidenti necessita di fornire chiarezza per ambito pubblico, il Garante è intervenuto anche sulle FAQ riguardanti il settore privato. Poiché la figura del DPO svolge un ruolo fondamentale, pur con sensibili differenze rispetto alle PA.

Per approfondimenti specifici o semplice richieste d’informazioni in generale prenoti il suo appuntamento personale con un nostro consulente.

La prima consulenza è sempre gratuita.

Fonte: Federprivacy.it

Il MISE ritarda l’adeguamento al GDPR. Multa di 75 mila euro dal Garante per la privacy

Il MISE sanzionato con 75.000 euro

Il pagamento di una sanzione di 75mila euro è stato ordinato al Ministero dello sviluppo economico da parte del Garante per la privacy. Causa della sanzione è la mancata nominato del DPO entro la data del 25 maggio 2018. Termine ultimo, ossia data di piena applicazione del GDPR. Infatti, la nomina e relativa comunicazione all’autorità ai sensi dell’art. 37 del Regolamento europeo, era avvenuta solo nel corso del 2019.

Inoltre, dall’istruttoria svolta dall’Autorità Garante sono stati trovati informazioni personali di oltre 5mila manager diffusi sul sito web istituzionale.

La sanzione al Mise è nata a seguito di pubblicazioni sulla carta stampata 

Nel corso di una istruttoria aperta dall’Ufficio è emersa la mancata nomina del DPO. A seguito di alcune segnalazioni è stata accertata la presenza di una pagina web con un elenco di manager nel sito del Ministero. Su tale pagina erano visibili e liberamente scaricabili i dati personali di oltre cinquemila professionisti. Come per esempio: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare. In alcuni casi risultavano addirittura visibili le copie della carta d’identità e della tessera sanitaria.

Un elenco a cui le piccole e medie imprese avrebbero potuto rivolgersi per richiedere la consulenza in ambito di transizione tecnologica e digitale, nonché destinatarie dei voucher previsti dalla legge di bilancio 2019.

Il Garante sanziona per la prima volta un PA

È la prima volta che l’Autorità ha sanzionato una PA per mancata nomina del DPO entro il termine stabilito ed avere provveduto alla nomina. Oltre ad aver comunicato con notevole ritardo dei dati di contatto al Garante. L’Autorità ha sanzionato anche per la fattispecie il Mise, sottolineando come la gravità di tale inadempimento fosse non scusabile. Anche alla luce del fatto che il Garante stesso avesse, fin dal maggio 2017, avviato una articolata attività informativa rivolta ai Ministeri, indicando tra le priorità da tenere in considerazione la nomina del DPO.

L’errore del MISE

Il Mise aveva ritenuto erroneamente, di essere legittimato a diffondere i dati personali degli interessati sulla base del Decreto Ministeriale che disciplinava la materia. L’Autorità, tuttavia, ha ritenuto il trattamento sproporzionato alla finalità perseguita in quanto la pubblicazione dei suddetti dati ha comportato un alto rischio ai soggetti interessati. I rischi di esportazione ed utilizzo non legittimato da parte di terzi, ad esempio: phishing, furto d’identità, profilazione illecita, ecc.

Era inoltre possibile scaricare dalla pagina internet, il decreto direttoriale con il quale l’elenco era stato approvato. Anche esso contenente dati e informazioni di tutti i manager. Nel rilevare l’illiceità del trattamento, il Garante ha ritenuto che il decreto direttoriale richiamato dal Mise, contrariamente a quanto da esso sostenuto, non costituisce una adeguata base normativa per la diffusione dei dati online.

L’Autorità ha ritenuto, inoltre, che la pubblicazione integrale e senza alcun filtro del CV rappresentasse un trattamento di dati sproporzionato e non in linea con i principi del GDPR. Per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni di tutti i manager.

Ha sostenuto inoltre che si avrebbe potuto prevedere forme di accesso selettive e aree riservate del sito istituzionale. Accessi mediante credenziali e autenticazione come username o password.

In considerazione del carattere colposo della diffusione dei dati dei manager nonché della collaborazione che il Ministero ha prestato all’Autorità, la sanzione comminata è stata pari a 75 mila euro.

Come nominare un DPO

Fermo restando quanto prescritto dal Regolamento, il Garante ha precisato come sia possibile nominare un DPO* anche nelle ipotesi in cui non si rientri nei casi imposti dal Regolamento. Vedi le FAQ del Garante qui.

Alla luce di tale chiarimento, infatti, è buona prassi motivare e documentare puntualmente le ragioni per le quali il Titolare, o il Responsabile del trattamento, assumono la decisione di individuare, o meno, la figura del DPO.

Va detto che la violazione degli obblighi previsti dai artt. 37, 38 e 39 del GDPR comporta, ai sensi dell’art. 83, comma 4, del Regolamento stesso la comminazione di una sanzione amministrativa pecuniaria fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.

Mal interpretazione oppure disattenzione?

Chiaramente non possiamo sapere quale sia stata la causa per la mancata nomina del DPO. Nemmeno perché il MISE abbia ritenuto opportuno pubblicare i dati e ritardato la nomina e comunicazione del DPO. Sappiamo invece che è costato caro. Inoltre si rifletterà negativamente sulla reputazione e intacca la fiducia dei cittadini nel confronto dei servizi offerti da parte de MISE.

Noi vogliamo fare chiarezza e rispondere a tante domande che, ancora oggi, non sono del tutto chiarite. Perciò offriamo un Webinar gratuito dedicato ai Sindaci e ai loro collaboratori. In un video corso di 90 minuti circa spiegheremo dettagliatamente tutti i requisiti minimi che un Comune / Regione deve rispettare per essere adempiente al regolamento europeo 679/2016.

L’iscrizione al Webinar online è aperta

Di seguito alcuni tra i più importanti argomenti trattati:

  1. le nomine
  2. il registro dei trattamenti
  3. le pubblicazioni e le reperibilità
  4. la formazione e i controlli

WEBINAR GRATUITO VENERDÌ 26 marzo 2021 ore 15:00

Fonte: Federprivacy.it * DPO= Data Protection Officer ossia in italiano RPD=Responsabile per la Protezione dei Dati

data protection officer

Data Protection Officer, ecco come scegliere il DPO giusto per te

Svolgere le attività in ambito privacy è molto complesso, quindi spesso conviene trovare un DPO in qualità di “pilota” della gestione, anche se non sussiste l’obbligo di nomina.

Il GDPR contiene una serie di requisiti che dovevano essere implementati dalle aziende sin dalla sua entrata in vigore, a maggio 2018. Tuttavia, un lavoro “una tantum” non è sufficiente, perché i processi devono essere continuamente adeguati e aggiornati al regolamento, sia dal punto di vista tecnico che da quello organizzativo e il Data Protection Officer (DPO) è una figura chiave prevista dal Regolamento. 

Che tutto funzioni al meglio e che sia controllato correttamente non dipende soltanto da te, come direttore generale o proprietario d’azienda, ma anche dal tuo Responsabile per la Protezione dei Dati – RPD (DPO Data Protection Officer) . Infatti, devi nominare un RPD, come definito nell’articolo 37 GDPR, se le tue attività aziendali principali consistono in trattamenti su larga scala o di categorie particolari di dati personali, di cui all’articolo 9 GDPR. A parte l’obbligo legale, puoi pur sempre scegliere di nominare un DPO affinché ti funge da “auto-pilota” da “bussola” della tua gestione dei dati personali.

Dove cerco un RPD o DPO esterno?

Fondamentalmente, hai due possibilità. Innanzitutto, devi prima decidere se incaricare un dipendente interno per questa posizione o trovare un Responsabile per la Protezione dei Dati esterno. 

A che cosa devi prestare attenzione?

Internamente, in genere, farai fatica ad individuare un dipendente già pronto con le qualifiche richieste. Dovrai quindi considerare di fargli frequentare opportuni corsi di formazione. I corsi, non solo costano soldi ma impegnano il tuo collaboratore anche molto tempo. Inoltre, considera che il neo-RPD avrà probabilmente acquisito la necessaria conoscenza di base, ma non avrà ancora sviluppato alcuna esperienza nel settore. Le abilità si sviluppano solo nel tempo!

Viceversa, un fornitore di servizi esterni è l’ideale per le piccole e medie imprese e consente anche di risparmiare sui costi. Questi fornitori di servizi hanno già anni di esperienza nel settore specifico. Esiste un numero indefinito di società di servizi e avvocati che si offrono come Responsabili esterni della protezione dei dati. Purtroppo, spesso di fronte a una così vasta offerta è difficile decidere per l’RPD più adatto alle proprie esigenze.

Le opzioni per trovare un RPD adatto.

Anche in questo caso hai due opzioni “ufficiali” a disposizione. Puoi, per esempio, trovare un esperto della protezione dei dati tramite il TÜV Italia. Il TÜV è conosciuto e quindi affidabile.

È inoltre possibile contattare l’associazione professionale dei Responsabili della protezione dei dati  Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. oppure l’associazione Federprivacy. Tramite queste organizzazioni puoi ottenere gli elenchi dei membri professionisti e prendere contatto con uno di loro.

È anche utile consultare amici e conoscenti che possono raccontarti le loro esperienze, positive o negative, con determinate aziende. In fondo, è importante che tu scelga qualcuno che sia competente, che ti sia gradevole e con il quale poter costruire una buona e duratura cooperazione sulla base di reciproca fiducia. 

Quali qualifiche deve avere il DPO? 

Le qualifiche richieste al Data Protection Officer sono menzionate nell’articolo 37 (5) GDPR: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.”

Inoltre, il considerando 97, relativo all’articolo 37, aggiunge, alla conoscenza specialistica che il ruolo richiede, conoscenze specifiche sulle operazioni di trattamento e protezione dei dati personali utilizzati. 

Quali ambiti di competenza deve coprire? 

I compiti che il Responsabile della protezione dei dati deve svolgere, nel corso della sua attività, sono descritti dettagliatamente nell’articolo 39 del GDPR. Questi includono, per esempio: 

  • Informare e fornire consulenza al titolare del trattamento e ai dipendenti.
  • Sorvegliare l’osservanza del Regolamento GDPR.
  • Fornire un parere in merito alla valutazione d’impatto.
  • Cooperare con l’autorità di controllo.
  • Fungere da punto di contatto per l’autorità di controllo.

Di conseguenza, la sua attività è piuttosto ampia e interdivisionale. È quindi un vantaggio se ha profonde conoscenze sia in questioni legali, sia organizzative che di programmazione IT. (scarica il nostro e-Book

A proposito: giacché il responsabile della protezione dei dati è pur sempre un essere umano che potrebbe commettere un errore, sarebbe bene se verificassi se ha un’assicurazione di responsabilità civile. Tale assicurazione coprirebbe, nella peggiore delle ipotesi, i danni che potrebbe causarti.

https://www.garanteprivacy.it/regolamentoue/rpd

Come scelgo il giusto RPD? 

A questo punto, non soltanto devi selezionare un Responsabile della Protezione dei Dati esterno qualificato, ma devi anche valutare altri aspetti. In particolare, da quale ambito professionale dovrebbe provenire il DPO? Dovrebbe essere un avvocato o uno specialista IT? E infine, il professionista più economico è sempre peggio di un esperto più costoso? 

Chi è meglio come DPO: un avvocato o uno specialista IT? 

Sul mercato sono disponibili diversi corsi certificati, ma non è prevista una formazione obbligatoria per i Responsabili della Protezione dei Dati (RPD). La tua scelta potrebbe quindi orientarsi verso un avvocato che sicuramente padroneggia perfettamente la parte legale della gestione dei dati. 

Oppure, potresti optare per uno specialista IT che conosca molto bene i Software, l’Hardware e i vari programmi. Ma la gestione della privacy è principalmente organizzazione piuttosto che programmazione tecnica, motivo per cui non è nemmeno possibile sfruttare appieno la conoscenza approfondita dello specialista IT. 

Attenzione: Il tuo fornitore usuale di servizi IT, che arriva quando la tua stampante smette di funzionare o i tuoi dati nel sistema sono scomparsi, non può diventare contemporaneamente il Responsabile della Protezione dei Dati perché gli mancano l’obiettività e la neutralità necessarie. Infatti, ovviamente preferirà i programmi e i processi da lui introdotti, e quindi potrebbe trascurare soluzioni alternative. 

L’avvocato sembrerebbe quindi la scelta migliore in quanto i rapporti con le autorità di controllo si svolgono molto sul piano legale. Ricorda che sono richieste una conoscenza e esperienza specificache non si possono apprendere attraverso un semplice corso di formazione. Per contro, un avvocato purtroppo non ne sa abbastanza di problemi informatici o di misure organizzative di protezione. Pertanto, un fornitore di servizi che copre tutte le discipline e ti offre un team qualificato di avvocati e specialisti IT è la scelta migliore per te. Grazie a questo backround, il fornitore di servizi può fornire la riposta o la soluzione legale o tecnica giusta in ogni situazione. 

Meglio un DPO economico o uno costoso?

Questa domanda è molto popolare, ma qual è il tuo limite personale tra economico e costoso? Ci sono buoni Data Protection Officer economici e cattivi professionisti costosi, quindi per te dovrebbe essere logico scegliere l’intero pacchetto. Ma devi tener conto del fatto che l’istruzione e la formazione continua dei bravi Data Protection Officer non è economica! Un esperto che investe costantemente nella propria istruzione non può offrirti prezzi ridicoli. Semplicemente, non sarebbe conveniente per lui. Prezzi troppo bassi dovrebbero indurti a riflettere. 

Pensa ad un buon avvocato che dovrebbe salvarti dalla prigione. Certamente di fronte a tale possibile punizione (che, in senso figurato, nel GDPR è rappresentata da una enorme multa), ricercheresti il migliore difensore e, se necessario, senza badare a spese! È sempre pericoloso scegliere un partner solo per risparmiare, perché ciò alla fine ti può costare caro. 

In ogni caso dovresti prestare attenzione a:

  • Che cosa ti viene offerto per i tuoi soldi? 
  • Il fornitore di servizi è sufficientemente qualificato e ha molti anni di esperienza pratica e approfondite conoscenze specialistiche? 
  • È sempre reperibile per te? 
  • Ti consiglia in modo esaustivo e comprensibile e ti offre un buon servizio personale oltre ad un supporto telefonico e via e-mail? 

L’agonia della scelta – possiamo convincerti?

Se non sei sicuro su quale sia il fornitore di servizi esterno più adatto a te, allora lasciati semplicemente consigliare da noi

Noi ti possiamo aiutare in ogni caso, indipendentemente dalla tua decisione. Nel nostro team abbiamo membri esperti e con conoscenze sia giuridiche sia tecniche professionali. Quindi potrai beneficiare in ogni caso della collaborazione di entrambi! Inoltre possiamo fornirti il tuo Responsabile per la Protezione dei Dati (RPD) oppure formare i tuoi collaboratori, se desideri sceglierne uno tra i tuoi dipendenti adatto per questo ruolo.

Per individuare le aree di copertura dell’adeguamento al GDPR da parte del titolare, puoi chiedere il nostro SCHEMA DI VERIFICA. clicca qui

Una cooperazione di fiducia e a lungo termineuna reperibilità costante e un buon servizio sono per noi di dovere. Il nostro team, composto da molteplici esperti, offre numerosi servizi e diversi corsi di formazione inerenti al GDPR, tutti fruibili con la formula “chiavi in mano”. Siamo felici di spiegarti, in un colloquio personale, i nostri servizi e soluzioni su misura per le tue esigenze!