Quindi, chi dovrebbe essere il responsabile della protezione dei dati (DPO)? Ok, quindi hai deciso di aver bisogno di un responsabile della protezione dei dati per la conformità al GDPR, è fantastico, ma chi dovrebbe farlo? Ma soprattutto: ne hai veramente bisogno?
Il responsabile della protezione dei dati deve essere una persona nominata ed è una tua scelta se si tratta di un ruolo a tempo pieno o part-time. Tutto dipende fortemente dal carico di lavoro. Il posto migliore per iniziare è guardare quali ruoli vengono già coperti nella tua compagnia. È infatti possibile che tu abbia già un responsabile della protezione dei dati da qualche parte nell’organizzazione o per lo meno qualcuno che ricopre in parte il ruolo senza nemmeno rendersene conto. Il prossimo passo è quello di escludere il personale operativo e di sicurezza. Loro hanno un chiaro conflitto di interessi.
Scegliere il giusto DPO
Nel GDPR si afferma che il responsabile della protezione dei dati non deve andare in conflitto d’interesse avendo un ruolo fondamentale nel governare la protezione dei dati e nel contempo definire il modo in cui i dati vengono gestiti. .
Ora, nel mondo reale, ciò significa che un responsabile IT e un direttore IT, un CTO, un CIO, o un responsabile della sicurezza difficilmente avranno anche il ruolo di DPO. Inoltre, potresti trovare altre posizioni che sfociano in un conflitto di interessi come per esempio con un responsabile marketing.
Pertanto, il ruolo del responsabile della protezione dei dati riguarda fondamentalmente la governance e conformità. A sua volta, si trova naturalmente con i team di governance legale e di sicurezza. Le organizzazioni più grandi avranno un avvocato interno che potrebbe essere un DPO. Possono anche avere una separazione dei team operativi di sicurezza e governance IT della sicurezza.
Sapere che il responsabile della protezione dei dati deve essere un ruolo di tipo governance è importante, ma dovrai assicurarti che vengano riconosciuti anche come consulenti a livello di consiglio. Il responsabile della protezione dei dati è un ruolo protetto in quanto non è possibile licenziare un DPO se svolge bene il proprio lavoro, come informare il regolatore di una violazione. Il responsabile della protezione dei dati deve essere veramente riconosciuto come un ruolo di alto livello all’interno dell’organizzazione e ben rispettato da tutti.
Questo, perché lui è fondamentale per il successo della conformità al GDPR. Deve comprendere il business, la gestione dei dati e come interagire con la base di clienti e il regolatore. Il responsabile della protezione dei dati deve comprendere la sicurezza dei dati ad un livello elevato e deve essere aggiornato con le ultime minacce per l’azienda e i dati che protegge.
Non esiste una risposta magica
Il DPO sente pressioni su entrambi i lati del proprio lavoro per il tempo e l’attenzione.
Una domanda comune è: in quale squadra collocare un responsabile della protezione dei dati a tempo pieno?
Dovrebbero riferire al legale, al CEO o al dipartimento rischi? Bene, chi è il loro manager di linea o quali linee tratteggiate hanno non ha molta importanza. L’unica condizione è quella che non abbiano difficoltà nel segnalare i problemi a chi di dovere.
Infine, considera la possibilità di nominare un consulente DPO esterno dedicato. Questo tipo di contratto di servizio può essere un’ottima scelta laddove è necessario un DPO, ma nessun dipendente attuale può assumere il ruolo ed assumere qualcuno risulta eccessivo. Alcune organizzazioni richiedono solo due o tre giorni di DPO al mese.
Se però, sei una piccola azienda, trova la persona più vicina alla regolamentazione e alla privacy e proponile una formazione. Chissà che il DPO non lo ritrovi all’interno: potrebbe ad esempio dedicare un 20% del suo tempo al tema.
Magari sei ancora lontano dal dover definire un DPO e preferisci sapere come automatizzare il tuo business con tre strategie.
0 commenti