Come ormai quasi tutte le organizzazioni hanno constatato, rispettare la normativa privacy non è più una attività una tantum, ne le assegnazioni dei ruoli determinanti in organigramma privacy possono essere fatte al primo soggetto che capita o che si rende disponibile a svolgerlo.
Una delle novità più rilevanti, introdotta dal GDPR, riguarda il concetto di Accountability; si tratta di responsabilizzare tutta l’azienda, anche incentivando una reale consapevolezza di tutti i soggetti coinvolti nei trattamenti di dati personali e nella loro protezione.
Il Titolare del Trattamento – che non è il legale rappresentante della azienda, come talvolta ancora si legge in qualche informativa – ha la responsabilità di adottare un approccio basato sulla gestione del rischio, oltre che a mettere in atto misure tecniche ed organizzative adeguate a garantire ed essere in grado di dimostrare, che il trattamento è conforme alla normativa di protezione dei dati personali; dette misure sono riesaminate ed aggiornate qualora necessario.
Quindi occorre adottare un sistema di gestione della privacy, (noi lo definiamo Data Protection Model) che deve essere adottato e costantemente operativo ; si dovranno assegnare delle responsabilità, siano esse interne che esterne; i vari ruoli di responsabili ed incaricati sono chiaramente richiesti dal Regolamento UE 679/2016.
Esistono anche alcune figure che non sono menzionate nel GDPR, la cui mancanza crea un vulnus alla protezione dei dati; si pensi al ruolo degli amministratori di sistema (sys-admin), grandissimo assente nel Regolamento ma figura assolutamente rilevante in una infrastruttura informatica moderna.
Una ulteriore figura assente nel Regolamento, parimenti importantissima, è quella che noi chiamiamo Referente Privacy Aziendale; in altri contesti viene talvolta identificata come Privacy Manager, Privacy Specialist oppure Privacy Officer.
In qualunque modo la si voglia chiamare, si tratta di una figura centrale nell’organigramma privacy aziendale; esso svolge le funzioni di “abilitatore”, “coordinatore”, “supervisore”, “suggeritore”, “problem-solver”, quindi un reale punto di riferimento privacy aziendale; esso deve avere autonomia operativa e intessere rapporti diretti con il C.D.A. o la proprietà, con i quali interagisce.
Anche le stesse Autorità di Controllo Europee promuovono la figura del Referente Privacy; attualmente non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi professionali, o disporre di certificazioni, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze.
L’importanza delle competenze del ruolo è anche rappresentata allo schema UNI 11697:2017 (Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza), che identifica ben due profili (Specialista Privacy e Manager Privacy), le cui competenze individuate dallo schema possono essere oggetto di certificazione, a qualifica dei soggetti chiamati a svolgere la funzione di Referente Privacy aziendale.
Informiamo – per completezza – che il ruolo di referente privacy può essere attualmente svolto anche da soggetti non laureati, tenendo sempre presente che la sua formazione – in tema di normativa privacy e di protezione dei dati personali – è estremamente importante.
Si tratta quindi di una figura dalle competenze multi-disciplinari, che contribuisce al buon funzionamento del Modello organizzativo di Gestione Privacy (DataProtection Model); la sua presenza è essenziale specialmente quando l’organizzazione ha nominato il Responsabile della Protezione dei Dati, il quale avrà nel Referente Privacy il suo referente presso l’azienda.
Da questa certezza, proveniente da anni di consulenza in aziende ed organizzazioni, abbiamo realizzato e reso disponibile uno specifico corso di formazione per Referenti Privacy; si tratta di un corso avanzato, da somministrare a soggetti che hanno già le basi della normativa di protezione dei dati personali (esempio, hanno fatto il corso di incaricato al trattamento di dati personali).
MA RIASSUMENDO, QUALI SONO I COMPITI DEL REFERENTE PRIVACY?
- Assicurare la Conformità alle Normative: Garantire che l’azienda rispetti le leggi sulla protezione dei dati, come il GDPR o altre normative locali e internazionali.
- Redazione e Aggiornamento delle Politiche sulla Privacy: Sviluppare, aggiornare e implementare le politiche e le procedure di gestione dei dati personali, inclusi i processi per il trattamento, la conservazione, e la distruzione dei dati.
- Valutazione d’Impatto sulla Privacy (DPIA): Collaborare alla conduzione delle Valutazioni d’Impatto sulla Privacy per identificare e mitigare i rischi legati al trattamento dei dati personali, soprattutto per nuove iniziative o tecnologie.
- Formazione e Sensibilizzazione del Personale: Organizzare corsi di formazione e programmi di sensibilizzazione per i dipendenti, al fine di garantire che siano informati e formati sulle migliori pratiche in materia di protezione dei dati.
- Gestione delle Richieste degli Interessati: Gestire le richieste degli interessati, come le richieste di accesso, rettifica, cancellazione o portabilità dei dati.
- Supervisione delle Attività di Trattamento dei Dati: Monitorare le attività di trattamento dei dati all’interno dell’azienda per assicurarsi che vengano svolte in modo conforme e sicuro.
- Gestione dei Data Breach: Coordinare le segnalazioni di Data Breach ed informare il TEAM di gestione delle violazioni, essere il punto di contatto del team ed eventualmente degli interessati dal breach.
- Consulenza al Management: Fornire consulenza e supporto alla direzione aziendale in materia di protezione dei dati, aiutando a prendere decisioni informate in progetti che coinvolgono il trattamento di dati personali.
- Collaborazione con il DPO (Data Protection Officer): Se presente, collaborare strettamente con il DPO per supportarlo nelle sue attività di controllo e verifica della conformità.
- Audit e Monitoraggio: Eseguire audit interni per verificare il rispetto delle normative e delle politiche interne di protezione dei dati e proporre azioni correttive quando necessario.
Ulteriori informazioni alla pagina specifica del corso referente privacy; di recente è terminato un corso svolto sulla piattaforma FAD e presto è programmata una nuova sessione del corso Referenti Privacy Aziendali; per ulteriori informazioni o necessità, contattateci.
I NOSTRI ARTICOLI RELATIVI ALL’ARGOMENTO REFERENTE PRIVACY AZIENDALE
Cassazione 40295/2024: credenziali aziendali e accesso disfunzionale
La recente sentenza n. 40295 del 31 ottobre 2024 della Corte di Cassazione ha affrontato…
Caso Equalize
Appare chiarissimo che l’ultimo “caso Equalize” certifica un livello di inadeguatezza della cybersecurity delle banche…
La firma autografa è dato personale
La firma autografa è un dato personale: lo sancisce una recente sentenza della Corte di…
Accessi illeciti a conti bancari
Un ex dipendente di Intesa Sanpaolo della filiale di Bisceglie è al centro di un’inchiesta…
Linee guida EDPB sull’adozione del legittimo interesse
L’EDPB ha recentemente pubblicato delle linee guida sul trattamento dei dati personali basato sul legittimo…
GDPR e NIS2 – differenze e punti di contatto
Per un’organizzazione già soggetta al GDPR, l’entrata in vigore della ormai imminente Direttiva NIS2 determina…