Protezione Dati, conto alla rovescia per il nuovo regolamento UE

Si chiama DPO ed è la nuova professione che spalancherà le porte del lavoro a migliaia di specialisti. Il ruolo è quello del Data Protection Officer, cioè l'esperto in diritto della protezione dati personali. Secondo le stime dell'osservatorio Federprivacy, potrebbero essere circa 45mila i privacy officer e altri professionisti della data protection che il mercato richiederà a stretto giro. Perché? Perché fra poche settimane, cioè entro il 25 maggio 2018, entreranno in vigore le nuove regole sulla privacy e la protezione dei dati personali. L'acronimo è GDPR e sta per General data protection regulation; si tratta del regolamento europeo che garantirà maggiori tutele a cittadini e utenti del web e che rischia, però, di mettere in difficoltà aziende e pubbliche amministrazioni che si faranno trovare non conformi. L'obiettivo è tutelare i dati personali dei cittadini dell'Unione di fronte ai nuovi rischi di un mondo in forte evoluzione digitale.

Fra le molte novità del regolamento, molte riguardano cittadini e utenti del web, che potranno contare sul diritto alla portabilità dei loro dati quando migrano da un fornitore all'altro di servizi internet o telefonici; c'è poi anche il diritto all'oblio, che prevede la possibilità di richiedere la cancellazione dei propri dati personali, anche online, quando ricorrono alcune condizioni. E infine, un'altra novità è la doverosa trasparenza nelle informative che dovranno essere scritte in modo chiaro e comprensibile, consentendo agli utenti di decidere in piena consapevolezza se dare o meno il proprio consenso.

Tutto bene, se non fosse che a questa rivoluzione della privacy un'altissima percentuale di aziende non arriverà pronta. Lo dice uno studio di Federprivacy, secondo cui il 72 per cento di imprese e PA non si è ancora dotato di un DPO, lo dice la ricerca condotta da ESET E IDCI, che mettono in evidenza che quasi il 78 per cento dei responsabili IT delle aziende coinvolte non ha compreso chiaramente l'impatto della nuova normativa o non è a conoscenza. E lo conferma, infine, anche uno studio della società SAS: il 58 per cento delle aziende e delle PA intervistate, infatti, si dichiara non del tutto consapevole delle conseguenze derivanti dalla mancata conformità al nuovo regolamento, mentre il 45 per cento ha un piano strutturato per affrontare la scadenza del prossimo maggio. Chi si farà trovare impreparato, infatti, rischia pesanti sanzioni, che vanno da quelle amministrative pecuniare fino alla possibilità di limitare o addirittura vietare un trattamento di dati. Una sanzione, quest’ultima, che può avere effetti ancora più rilevanti rispetto alla semplice multa. Bloccare il trattamento dei dati, infatti, potrebbe fermare un servizio o un’attività già in atto con conseguenze sui clienti che potrebbero chiedere il risarcimento dei danni subiti.

Ecco allora che il Garante per la protezione dei dati personali ha dettato tre priorità ad aziende e PA: in primo luogo, la designazione in tempi stretti del DPO; poi, l'istituzione del Registro delle attività del trattamento, in cui vengono descritti i trattamenti eseguiti e le procedure di sicurezza; e infine la notifica dei Data Breach, cioè le violazioni dei dati personali. La figura del DPO è frutto della necessità di un adeguamento che non deve essere solo a livello tecnologico, ma anche di approccio generale al problema e rispetto alla struttura organizzativa. Per questo al DPO vengono richieste diverse competenze di natura tecnica, normativa, ma anche comunicativa. Questa nuova figura, ancora relativamente diffusa, come dicevamo in apertura a breve potrà essere molto richiesta.

Per approfondire: visita la pagina dell’Unione europea dedicata al General data protection regulation.