loader image

Incarico Data Protection Officer

La figura del DPO (Data Protection Officer o, in italiano, Responsabile della Protezione dei Dati Personali), al di là dei casi di nomina obbligatoria, sta assumendo un ruolo sempre più rilevante nelle società o nelle start up dalla grande aspirazione innovativa e digitale, o in settori in cui il trattamento dei dati personali rappresenta il vero core business.

Dotarsi di un DPO competente, che sia adeguatamente informato delle strategie aziendali e che venga messo nelle condizioni di relazionarsi direttamente con le figure apicali, è una risorsa fondamentale per l’applicazione di uno dei principi cardine della normativa privacy.

Il riferimento è al concetto di privacy by design, che significa integrare una cultura della data protection all’interno dei processi aziendali e dare così vita a servizi o prodotti che siano pensati e progettati fin dall’inizio per proteggere i dati personali degli utenti.

Solo così può nascere una nuova cultura aziendale che, per essere correttamente introdotta in un contesto di impresa, necessita di una figura professionale di riferimento che trasferisca questi valori al Board, o in ogni caso alle persone che hanno l’onere di prendere le decisioni aziendali.

Il DPO ha inoltre un ruolo decisivo anche nei momenti di crisi, come nel caso di un evento di violazione dei dati personali (il cosiddetto Data Breach), che si può concretizzare in vari modi: da un’alterazione del contenuto dei dati personali per mano di criminali informatici fino ad una divulgazione di dati a terzi non autorizzati da parte di un dipendente poco attento.

Oggi l’evento Data Breach è un rischio che tutte le aziende dovrebbero calcolare e mitigare ponendo in essere le adeguate misure rispetto al valore e all’entità dei dati trattati. 

Alcuni numeri per dare l’idea del trend attuale:

  • Si stima che nel 2021 una azienda ogni 11 secondi cadrà vittima di un attacco ransomware con richiesta di riscatto (Fonte: Herjavec Group LINK). 
  • Il 43% dei Data Breach colpisce le PMI (Fonte: Verizon LINK).
  • Nel 2020 le notifiche di Data Breach sono aumentate del 66% all’interno dell’UE (Fonte: Linklaters LINK).

Questi numeri ci fanno capire quanto sia urgente la predisposizione di un Incident Response Process che dia indicazioni precise su cosa bisogna fare in caso di Data Breach.

In questi momenti di emergenza, il Data Protection Officer (DPO) avrà il compito di valutare il rischio della violazione e adottare le misure necessarie, fra cui la notifica al Garante Privacy che, laddove richiesta, va effettuata entro 72 ore.

Si tratta di un termine brevissimo che deve essere sfruttato nel miglior modo possibile con l’aiuto di chi ha le competenze per farlo, insieme ad un pool di esperti (professionisti in ambito di cybersecurity, gestione della crisi, comunicazione), tutti coordinati dal DPO, che diventerà anche il punto di contatto con l’Autorità Garante Privacy nelle successive fasi di indagine.

Il ruolo del Data Protection Officer (DPO) è centrale anche nel caso di Valutazioni di Impatto sulla Privacy (la cosiddetta DPIA), qualora sia necessario un’analisi approfondita del rischio rispetto a specifiche attività di trattamento dei dati personali che pongono rischi elevati per i diritti e le libertà degli interessati.

In questi casi, la normativa richiede espressamente che il DPO venga coinvolto nella progettazione ed elaborazione della DPIA, uno degli strumenti di accountability più importanti fra quelli a disposizione dell’azienda titolare. Dimostrando così la sua sensibilità e proattività verso il tema privacy, in modo da evitare inutili sanzioni.

Case History

Il Data Protection Officer (DPO) e l’importanza di replicare tempestivamente ad illazioni infondate

Una start up attiva nella fornitura di servizi digitali a favore di società sportive veniva a conoscenza di un articolo di giornale locale che alludeva a presunte violazioni privacy a danno degli sportivi (anche soggetti minorenni) che utilizzavano i loro servizi. 

In particolare, si faceva riferimento un trasferimento di dati personali fuori dall’UE, senza alcuna protezione dei dati, oltre alla mancanza di adeguate misure di sicurezza per i dati personali dei minori.

In quell’occasione è stato fondamentale rispondere con fermezza e in brevissimo tempo mediante un comunicato stampa che ha replicato punto su punto a tutte le accuse, dimostrandone l’assoluta infondatezza.

Il nostro Studio Legale, nella veste di Data Protection Officer (DPO), ha collaborato in piena sinergia con il reparto marketing e comunicazione per offrire supporto tecnico e legale necessario alla redazione di una risposta puntuale, ponendo così fine ad una polemica che stava crescendo in maniera allarmante, sebbene fondata su presupposti non veri.

Una reazione tardiva avrebbe di certo arrecato all’azienda un danno di reputazione e di immagine molto grave.

Hai bisogno di una consulenza?