Il Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento UE 2016/679), che entra in vigore il 25 maggio 2018, armonizzerà la protezione dei dati personali. Il suo obiettivo principale è restituire il controllo dei dati personali ai cittadini e residenti dell’UE, imponendo al contempo sanzioni significative per la non conformità (fino a 20 milioni di euro o il 4% del fatturato mondiale annuo totale).
Il RPD secondo il GDPR
Posizionamento organizzativo del RPD
Conclusione
Il RPD secondo il GDPR
Introduzione
Il GDPR aumenta significativamente i requisiti di protezione dei dati esistenti, ampliando l’ambito territoriale, i diritti degli individui e le specifiche obbligazioni per le istituzioni finanziarie.
Nel gennaio 2017, abbiamo pubblicato un’introduzione sulle implicazioni principali e i cambiamenti per le istituzioni finanziarie, fornendo una raccomandazione per un approccio in tre fasi (vedi: https://www.bankinghub.eu/banking/finance-risk/general-data-protection-regulation).
Uno dei punti focali del nuovo regolamento riguarda la nomina del Responsabile della Protezione dei Dati (RPD). Il GDPR specifica chiaramente i casi in cui la designazione di un RPD è obbligatoria e quali sono le sue responsabilità tipiche, ma offre solo indicazioni vaghe su come posizionare adeguatamente questa figura nell’organizzazione.
Ruolo del RPD
Il ruolo del RPD è descritto principalmente nell’Articolo 39 del GDPR. Egli deve monitorare la conformità, informare e consigliare i titolari del trattamento, i responsabili del trattamento e tutti i dipendenti che trattano dati personali, cooperare con le autorità di controllo e fungere da punto di contatto unico per gli interessati sui loro diritti.
In sintesi, il RPD è responsabile di garantire che tutti i requisiti dell’istituzione siano rispettati. Una panoramica delle principali responsabilità è mostrata nella figura seguente.
Figura 1: Principali responsabilità del RPD
Per adempiere correttamente a tali responsabilità, il RPD deve essere integrato in un dipartimento dedicato o avere ruoli di supporto idonei all’interno dell’organizzazione. Il GDPR fornisce alcune linee guida su come questa struttura deve essere organizzata nell’Articolo 38.
Figura 2: Punti di riferimento del GDPR sul posizionamento del RPD
Interpretando l’Articolo 38, emerge che il RPD necessita del supporto del top management e possibilmente di una linea di riporto diretta per evitare conflitti. Ad esempio, potrebbe sorgere un conflitto tra la strategia digitale di un’azienda e il mandato GDPR del RPD. Il ruolo del RPD nell’assicurare il rispetto dei diritti sulla privacy potrebbe avere un impatto significativo sui costi e sui tempi di implementazione IT, sui lanci di prodotti, sulle iniziative di marketing, ecc. La legge sottolinea anche l’indipendenza del RPD, in particolare la libertà di svolgere le proprie responsabilità senza timore di sanzioni.
Posizionamento organizzativo del RPD
Essendo “…coinvolto, in modo adeguato e tempestivo, in tutte le questioni relative alla protezione dei dati personali” (Art. 38, 1), il RPD deve essere significativamente integrato nei temi di gestione dei dati, nella sicurezza informatica e influenzare l’IT per tutti i sistemi di trattamento dei dati personali.
Collaborazione interna
Tutte le istituzioni devono affrontare la questione di dove posizionare questo nuovo ruolo tenendo conto delle relazioni interne e della cooperazione, nonché delle linee guida del regolamento.
Il nostro punto di vista è che il titolare del trattamento e il RPD, come autorità di monitoraggio, devono essere supportati da quasi tutta l’organizzazione per garantire la conformità al GDPR.
fig. 3
Esempi pratici
Molte istituzioni hanno già avviato progetti di implementazione. È cruciale discutere la collocazione del ruolo del RPD a livello dirigenziale, definendo precocemente il modello di collaborazione per evitare mancanza di guida e supporto.
Figura 4: Opzioni osservate
Conclusione
Raccomandiamo di posizionare il RPD nell’area del CRO (Chief Risk Officer) con un dipartimento dedicato e una linea di riporto diretta al consiglio di amministrazione. Una stretta relazione con la sicurezza informatica è vantaggiosa.
Figura 5: Raccomandazione
Tale approccio consente di affrontare in modo mirato le aree a rischio elevato e di raggiungere la conformità nel breve termine.
Una volta stabilita l’organizzazione del RPD e assicurati che i processi e i sistemi siano sotto controllo, potrebbe essere appropriato adottare un approccio meno basato sul rischio e considerare il posizionamento del ruolo del RPD all’interno di un’altra area del portafoglio dirigenziale. Questo spostamento permetterebbe un maggiore allineamento con le esigenze operative a lungo termine, bilanciando la protezione dei dati personali con gli obiettivi strategici dell’organizzazione.
Importanza della collaborazione tra RPD e InfoSec
Uno degli aspetti fondamentali della conformità al GDPR è la stretta collaborazione tra il Responsabile della Protezione dei Dati (RPD) e il team di sicurezza informatica (InfoSec). Sebbene le loro responsabilità siano differenti, i due ambiti condividono sovrapposizioni significative in termini di sistemi, dati e funzioni. Il RPD si concentra sulla protezione dei dati personali, salvaguardando i diritti degli individui, mentre InfoSec si occupa della protezione dell’organizzazione stessa, prevenendo interruzioni critiche nei processi IT.
Per garantire questa collaborazione, raccomandiamo di stabilire meccanismi regolari di scambio e allineamento, come riunioni periodiche e canali di comunicazione strutturati. In tal modo, entrambe le funzioni possono lavorare sinergicamente per ridurre i rischi e migliorare l’efficienza operativa.
Adattamenti strategici per la conformità al GDPR
Il percorso verso la conformità al GDPR richiede un cambiamento culturale significativo all’interno delle organizzazioni. È necessario sviluppare una sensibilità diffusa verso la protezione dei dati e integrare i principi del GDPR nei processi quotidiani. Di seguito, alcune raccomandazioni chiave:
- Formazione e consapevolezza: organizzare sessioni di formazione per tutti i dipendenti, con particolare attenzione ai responsabili dei dati e ai team operativi.
- Revisione dei processi: analizzare e aggiornare le politiche aziendali per assicurare la conformità, come le procedure per la gestione delle richieste degli interessati (ad esempio, il diritto all’oblio).
- Audit regolari: implementare verifiche periodiche per monitorare la conformità e identificare eventuali aree di miglioramento.
- Tecnologie avanzate: investire in strumenti di gestione dei dati, che automatizzino la sicurezza e facilitino il rispetto delle normative.
Prossimi passi
Con l’entrata in vigore del GDPR, le organizzazioni devono adottare un approccio proattivo per gestire i rischi legati alla protezione dei dati personali. Definire chiaramente il ruolo e il posizionamento del RPD è solo l’inizio. La capacità di adattarsi alle sfide future dipenderà dalla volontà dell’organizzazione di considerare la protezione dei dati come un elemento chiave della strategia aziendale e non solo come un obbligo normativo.
Attraverso una pianificazione accurata, il supporto del top management e un coinvolgimento diffuso in tutta l’organizzazione, le istituzioni possono trasformare la conformità al GDPR in un vantaggio competitivo, rafforzando la fiducia dei clienti e migliorando la propria reputazione sul mercato.
