Guida Semplice Alla GDPR/2 il misterioso DPO: serve un’abilitazione del data protection officer? E soprattutto serve davvero il data protection officer?
Eccoci al secondo appuntamento per prepararci all’applicazione del nuovo regolamento europeo sulla Protezione dei dati personali (GDPR) il prossimo 25 maggio. Scriviamo questa mini-guida per chi fa comunicazione, ha una agenzia di comunicazione, ufficio stampa, giornalismo, blogging e marketing PR.
(di Barbara D'Amico — www.thepressmatch.com)
Torino, 19 marzo 2018 — Bene, nel precedente articolo dedicato alla GDPR abbiamo capito alcune cose. La prima, è che anche i giornalisti o comunque gli utenti a cui chiediamo dati personali, come il nome, il cognome e l’email per inviare newsletter o comunicati stampa o altro, dovranno darci la loro liberatoria al trattamento di quei dati. Ad esempio, spuntando le famose caselle che iniziano con “Autorizzo…” “Dichiaro di essere a conoscenza dell’utilizzo per finalità di marketing…” presentante chiare e in evidenza sul sito della nostra agenzia o del nostro servizio di comunicazione digitale. Perché tutto questo? Perché l’Europa vuole, giustamente, che ci sia il pieno consenso a farsi inviare comunicazioni e la piena consapevolezza a che i propri dati siano usati per indagini, ricerche, profilazioni.
Ciò vuol dire che, anche se usiamo strumenti come Mailchimp, 4DEM o MailUp che già si stanno attrezzando per adeguare i testi sul consenso al trattamento dei dati, dovrete voi per primi dotarvi degli accorgimenti indicati dalla normativa (o, per lo meno, fare un minimo sforzo di trasparenza).
La seconda cosa che abbiamo capito è che in realtà la GDPR non dice nulla di sconvolgente ma rende obbligatorie una serie di buone pratiche nel gestire la comunicazione da cui adesso non si può sfuggire. Questo richiede mettere in piedi una struttura di controllo delle procedure per il rispetto delle norme sul trattamento dei dati personali che prima era richiesto solo ad aziende e società di consulenza. Uno dei componenti di questa struttura — che comprende ad esempio la creazione di un registro delle attività di trattamento fatte sui dati — è il DPO o data protection officer.
Quando è obbligatorio nominare il DPO Il nuovo regolamento europeo infatti indica a chi raccoglie e tratta dati personali di dotarsi anche di un responsabile della protezione dei dati personali, cioè una figura che dovrà consigliare chi fa il trattamento dei dati personali sulle modalità migliori per rispettare il Regolamento GDPR, in particolare e che farà un po’ da referente per il controllo delle procedure. In che modo?
- Presiedendo a tutte le fasi di costruzione/gestione del trattamento dei dati
- Assicurando che sia adottato il registro delle attività di trattamento
- Analizzando lo stato delle sicurezza fornita da chi fa la raccolta e il trattamento dei dati per
- Proteggendo, insieme ai tecnici, i database da incidenti, perdita di dati, attacchi hacker ecc…ecc…
Insomma, in soldoni si tratta di una figura, un professionista, che può essere assimilato — anche se il paragone deve essere preso con le pinze — con il responsabile della sicurezza nei luoghi di lavoro.
E qui scatta la domanda: ma se ho un ufficio stampa professionale, ad esempio, devo nominare un DPO? La risposta è dipende: tutto il regolamento europeo è studiato in modo tale da suggerire l’adozione di procedure e accorgimenti che, se non seguiti, in caso di problemi o denunce potrebbero mettervi nei guai. Come provate ad esempio al Garante che avete rispettato i criteri di legge sul trattamento dei dati? Non basterà più un autocertificazione ma servirà indicare l’esistenza del registro della attività del trattamento, la nomina di un DPO e via dicendo.
Il test di Microsoft per scoprire la compliance alla GDPR L’unico modo per sapere se allo stato attuale dovete nominarlo è chiedere a un consulente legale di farvi una piccola valutazione di impatto sulla vostra struttura aziendale o sulla vostra attività oppure, se non potete permettervelo in questa fase, potete utilizzare le linee guida di assessment create da Microsoft (fai il test di autovalutazione compliance GDPR).
In linea di massima se raccogliete e maneggiate dati personali (es. nome, cognome, email, luogo di lavoro e via dicendo di blogger e giornalisti) e se comprate quei dati da banche dati esterne e li riutilizzate per finalità di comunicazione marketing, anche per conto terzi, può darsi che dobbiate nominare un DPO. Tenete però conto che la sua esistenza significa anche dover dedicare un minimo di budget alla sua attività di controllo. Se quindi la vostra l’attività rientra tra quelle in cui i trattamenti richiedono il monitoraggio regolare e sistematico degli interessati su larga scala (art. 37, pagina 120 del pdf qui in allegato) c’è un’alta probabilità che dobbiate nominare un DPO.
Chi è poi questo DPO? Facciamo prima a chiarire chi NON deve essere e cioè: lo stesso titolare del trattamento dei dati personali (che in genere è una persona all’interno dell’azienda o dell’ufficio stampa che assume questo ruolo).
Non serve l’abilitazione per essere DPO Può essere però una figura alle dipendenze o un freelance, un consulente esterno. Non deve avere nessuna abilitazione ufficiale: anche se pullulano i corsi per la certificazione DPO, diciamo che è bene seguirne uno per farsi una infarinatura (certo, non vorrete nominare chi non sa nulla di gestione dei dati, dati in generale, trattamento, raccolta ecc… e poi, sempre in sede di prova davanti al Tribunale della Santa Data Privacy, dimostrare che il vostro DPO ha fatto il corso potrebbe salvarvi da tortura) ma è stato chiarito ampiamente che per ora non servono lauree, esami di stato o abilitazioni di qualche sorta .
Ergo, il DPO non è detto sia obbligatorio nominarlo ma è meglio farlo se si ha la possibilità. Se a occhi chiusi dovessimo nominare un DPO sceglieremmo ad esempio un data scientist o data analyst, uno statistico o qualcuno che ha dimestichezza con le indagini e i sondaggi: chiaramente più è esperto meglio è. Se siete proprio alla canna del gas potete anche unire le forze con altri addetti stampa/uffici stampa/agenzie ecc… e nominare un unico DPO che fa le consulenze a tutti. Insomma, se ne esce fuori e con i dati puliti.
Originally published at blog.thepressmatch.com on March 19, 2018.
