Data protection officer, tutte le difficoltà delle aziende italiane

Le maggiori difficoltà che le aziende stanno incontrando nell’adeguamento alla nuova normativa sono anzitutto di carattere pratico. Non tutti hanno le risorse finanziarie ed anche umane per sostenere il progetto di adeguamento. Incertezza anche sul ruolo del DPO

Pubblicato il 07 Apr 2017

Laura Liguori

Partner di Portolano Cavallo

privacy_405457639

Il 25 maggio 2018 il Regolamento Europeo 679/2016 sulla privacy diventerà applicabile in tutti gli Stati Membri, senza alcuna necessità di un intervento legislativo di recepimento da parte dei medesimi. Ma cosa stanno facendo le aziende italiane per adeguarsi?

Le conclusioni della ricerca condotta da Federprivacy sulla gestione della protezione dei dati nelle aziende italiane, con particolare riguardo all’adeguamento al Regolamento 670/2016 e all’obbligo di dotarsi di un Data Protection Officer (DPO), mettono in luce una situazione di incertezza.

Le maggiori difficoltà che le aziende stanno incontrando nell’adeguamento alla nuova normativa sono anzitutto di carattere pratico. Un progetto di adeguamento ha bisogno di risorse, finanziarie ed anche umane, che siano completamente dedicate ad esso all’interno di una azienda o di un gruppo. E purtroppo, non tutti sono in grado di sostenere questi costi e di dedicare ingenti risorse a tale obiettivo. Inoltre, spesso e volentieri le risorse dedicate a tali progetti sono coinvolte su altri importanti fronti e non riescono ad avere una visione di insieme relativamente ai trattamenti svolti dalle società. Si pensi ad esempio all’obbligo per le aziende, introdotto dal Regolamento, di redazione e tenuta di un registro dei trattamenti: anche se molte aziende in Italia hanno continuato ad aggiornare il Documento Programmatico per la Sicurezza nonostante la abrogazione del relativo obbligo nel 2012, molte aziende hanno difficoltà a ricostruire con esattezza tutti i trattamenti di dati personali che vengono effettuati internamente o delegati a terzi. La compliance con la normativa sulla protezione dei dati personali – spesso interpretata fino ad oggi – come una serie di documenti da implementare e conservare da qualche parte in azienda, deve trasformarsi in un insieme di processi e misure organizzative e tecniche che saranno tanto più stringenti quanto maggiori sono i rischi connessi ai trattamenti di dati personali effettuati dalle aziende. Questo richiede un cambio di prospettiva da parte di tutti, consulenti e aziende, per cui non sarà più possibile pensare a soluzioni ed approcci formalistici, ma occorrerà pianificare e realizzare un programma che dovrà necessariamente focalizzarsi su processi interni, valutazione delle situazioni concrete e dei relativi rischi.

Un’altra criticità è sicuramente l’incertezza introdotta dal Regolamento, che propone nuovi concetti ed obblighi ed ampi spazi di interpretazione che, in assenza di linee guida ed applicazione consolidata, costituiscono ancora delle “aree grigie” per molti. Si pensi ad esempio allo stesso ruolo del DPO, o ai concetti di larga scala o di rischio dalla cui definizione dipendono alcuni importanti obblighi di compliance previsti dal Regolamento.

Come emerge chiaramente dallo studio presentato da Federprivacy, nonostante tre aziende su quattro si siano dotate di una figura interna dedicata alla privacy e siano giustamente orientate a non perdere le iniziative e le risorse che sono già state dedicate alla protezione dei dati personali nel corso degli anni, è di tutta evidenza che ci siano delle difficoltà oggettive in relazione a tale obiettivo. Infatti, la circostanza che gli attuali responsabili della funzione privacy siano inseriti – per un’azienda su cinque – nell’area IT potrebbe fare sorgere conflitti di interesse.  Più in generale la domanda è se le attuali funzioni privacy o compliance interne alle aziende possano allo stesso modo rivestire il ruolo di DPO alla luce dei requisiti di garanzia e indipendenza per tale ruolo previsti dal Regolamento. A mio avviso non è così scontato.

Inoltre,  l’obbligo per un’azienda di condurre una valutazione di impatto sulla protezione dei dati in relazione ad un determinato trattamento sorge solo in alcuni casi, tra cui quelli in cui le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, o i trattamenti, su larga scala, di categorie speciali di dati che a grandi linee (ma non c’è una esatta coincidenza tra le definizioni) possono ritenersi corrispondenti  ai dati sensibili o giudiziari. C’è ancora molta incertezza su cosa debba intendersi per “attività principali” (ci sono aziende le cui attività principali non sono costituite da trattamenti di dati personali, ma per le quali il trattamento di dati personali si pone come necessario e ineludibile: l’esempio più semplice è forse quello degli ospedali) o per “larga scala” (si deve guardare alla dimensione quantitativa o qualitativa del trattamento? O meglio ad entrambe?). Nonostante il Gruppo Articolo 29 – organo che raccoglie al proprio interno le Autorità per la protezione dei dati personali degli Stati Membri – abbia fornito linee guida su alcuni di questi concetti a dicembre 2016, restano ancora molte incertezze.

Questa situazione, unita alle sanzioni elevate che il Regolamento introduce per le ipotesi di violazione degli obblighi introdotti dal medesimo, implica la necessità per le aziende di iniziare quanto prima il processo di adeguamento, senza lasciarsi spaventare dalle incertezze, ma iniziando a pianificare e implementare una strategia, fondata magari su liste di priorità, che possa consentire di non trovarsi completamente impreparati all’indomani del giorno in cui il Regolamento inizierà ad applicarsi (il 25 maggio 2018).

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati