tratto da quotidianopa.leggiditalia.it

Le attività prioritarie del DPO di un ente pubblico

di Michele Iaselli – Funzionario Ministero della Difesa, docente di informatica giuridica all’Università di Cassino, LUISS – Roma e Federico II – Napoli

 

Come è ormai noto il ruolo del DPO (Data Protection Officer) così come previsto e disciplinato dal regolamento UE n. 2016/679 è davvero molto delicato poiché oltre ai suoi compiti di consulenza diventa il garante dell’osservanza del GDPR all’interno dell’ente che assiste fungendo da punto di raccordo fra il titolare ed il responsabile da un lato e l’Autorità Garante dall’altro.

Ma quale dovrà essere l’approccio di un DPO di un ente pubblico?

Naturalmente non esistono delle regole uniche poiché è ovvio che ogni professionista ha un suo modus operandi, ma possono individuarsi delle attività fondamentali dalle quali non è possibile prescindere nell’esercizio della propria funzione e che sono state sottolineate dallo stesso garante (http://www.garanteprivacy.it/regolamentoue/formazione/).

E’ necessario difatti:

1. Conoscere tutti gli aspetti organizzativi dell’ente: il DPO deve necessariamente analizzare ed approfondire i compiti e le funzioni fondamentali dell’ente che assiste. Tale attività è fondamentale per consigliare nel modo migliore il titolare o responsabile del trattamento.

2. Mappare e classificare i trattamenti dati con un occhio particolare ai dati che vengono trasferiti all’estero ed a eventuali accordi di carattere contrattuale (binding corporate rules). In genere questo tipo di attività viene svolto attraverso la diretta compilazione dei registri delle attività di trattamento che, come consigliato dalla stessa Autorità, per quanto considerate a livello di Regolamento attività proprie del titolare e del responsabile del trattamento, alla fine vengono svolte dallo stesso DPO, più che altro, per ragioni di opportunità.

3. Individuare un organigramma privacy e prevedere un coordinamento funzionale, ai fini privacy, tra i diversi uffici della realtà organizzativa. Si tratta di un aspetto delicato ma fondamentale che può consentire allo stesso DPO di individuare con immediatezza eventuali problematiche che dovessero insorgere nell’ambito dell’azienda o ente.

4. Prevedere specifiche policy del trattamento dei dati e fornire attività di consulenza in tale settore con un’attenzione particolare rivolta all’utilizzo delle nuove tecnologie (videosorveglianza, biometria, Rfid, big data, uso della rete per attività di marketing, profilazione, posta elettronica aziendale, sistemi automatici decisionali ed utilizzo dell’IA, tecnologie robotiche, cloud computing, IoT, ecc.).

5. Analizzare l’impatto delle predette nuove tecnologie in ambito protezione dei dati personali al fine di fornire specifica consulenza al titolare del trattamento per la predisposizione di un DPIA. Siamo di fronte ad una della attività più importanti disciplinate dal Regolamento europeo per la quale oltre, ovviamente, ai vari suggerimenti delle autorità garanti (v. linee guida del 4 aprile 2017) è stata predisposta una specifica norma internazionale ISO/IEC 29134 dal titolo “Privacy Impact Assessment – Methodology” di prossima pubblicazione che propone: un processo molto articolato in 12 passi, a cui ne vanno aggiunti 2 di riesame periodico o ad hoc e di attuazione degli eventuali cambiamenti necessari; un indice in 6 punti per il rapporto di valutazione ed un esempio per la stima degli impatti.

6. Aiutare l’ente nel predisporre un’efficace politica di sicurezza informatica. A tal fine sarà necessario dare utili suggerimenti in merito anche alla definizione di programmi di formazione ed aggiornamento per tutti gli operatori (incaricati) e naturalmente per i responsabili del trattamento.

7. Curare, tramite il titolare del trattamento, i rapporti con gli interessati al fine di fornire risposta adeguata a determinate richieste di chiarimenti in materia o a reclami/ricorsi.

8. Supportare l’ente nella predisposizione di specifici report di data breach e nelle relative comunicazioni agli interessati.

9. Aiutare il titolare del trattamento nella predisposizione e gestione di specifici audit privacy interni ed esterni.

10. Mantenersi aggiornati con riferimento alla normativa nazionale ed europea in materia di protezione dei dati personali confrontandosi nel caso anche con altri DPO.

11. Curare i rapporti con l’Autorità garante su tutte le tematiche che dovessero investire l’ente in materia di privacy.

12. Monitorare in generale tutte le attività di trattamento dati al fine di assicurare il rispetto della normativa nella specifica realtà organizzativa di riferimento.

In termini ancora più generali possiamo individuare le seguenti attività che dovranno rappresentare un punto di riferimento continuo per un DPO:

– Struttura di governance (individuazione responsabili per la privacy dei dati, la gestione del responsabile, procedure di segnalazione a fini gestionali);

– Gestione archivio dati personali (modalità di gestione per l’archiviazione dei dati personali o flussi di dati personali con classi definite di dati);

– Policy privacy dati personali (politiche e procedure in materia di privacy, requisiti di legge, gestione dei rischi operativi);

– Programma formazione (formazione continua e sensibilizzazione per promuovere il rispetto della privacy);

– Gestione del rischio connesso all’Information Security (programma di sicurezza delle informazioni e valutazioni dei rischi);

– Gestione del rischio di terze parti (contratti con terzi coerenti con la riservatezza dei dati, – policy, requisiti, e tolleranza del rischio operativo);

– Comunicazioni (informazioni e comunicazioni agli individui coerenti con la politica privacy);

– Risposta richieste e reclami di privati (procedure efficaci per le interazioni con gli individui in materia di dati personali);

– Individuare e monitorare nuove pratiche operative (monitorare pratiche organizzative per identificare nuovi processi o modificare quelli esistential fine di garantire l’attuazione della Privacy by design);

– Gestione data breach;

– Verificare politiche, pratiche e procedure operative ai fini della conformità alla normativa sulla privacy.

Art. 39Reg. (UE) 27 aprile 2016, n. 2016/679 del Parlamento Europeo e del Consiglio

Nessun tag inserito.

Torna in alto