Security Lab, in qualità di Sponsor Excellence del Visionary Day, “l’evento digitale per le imprese” organizzato da Ated ICT Ticino, con il patrocinio del Comune di Lugano, che si è svolto tra il 5 e l’8 ottobre nel contesto dell’Autunnno Digitale, è stata protagonista con 6 webinar in materia di“data protection”, intelligenza artificiale e sicurezza delle informazioni, partecipando altresì come partner alla Tavola Rotonda realizzata dall’Associazione Privacy Ticino.
Tra questi webinar, particolare successo l’ha certamente ottenuto l’intervento del 6.10 sul tema “Tecnologia e dati personali: quando occorre il DPO”, dove si sono alternati nell’esposizione il General Manager di Sec-Lab Advisory, l’Ing. Siro Migliavacca e la sua collaboratrice, Legal Counsel & Advisor, Avv. Francesca Colombo.
Un webinar, che nello scenario che stiamo vivendo giornalmente, dovei dati personali assumono sempre più un importanza strategica per le organizzazioni, trasformandosi in una sorta di “nuova materia prima” da raccogliere, analizzare, elaborare e conservare, in quanto sempre più in grado di generare nuove attività di business...dove le medesime organizzazioni manifestano sempre più l’esigenza di avere come punto di riferimento una figura professionale in grado di “stare al passo” con le nuove normative e regolamenti in materia di “data protection”... dove le nuove tecnologie (dispositivi biometrici, IoT, intelligenza artificiale) e le nuove modalità di comunicazione e lavoro (videoconferenze, telelavoro, smartworking) hanno aumentato notevolmente il volume e il flusso di dati personali scambiati tra organizzazioni e tra paesi differenti...ha permesso di “prendere confidenza”con una figura chiave del “Mondo Privacy”, molto apprezzata all’esterno (dalle autorità di controllo, dagli interessati, dagli stakeholders, ecc), e in grado di assumere all’interno dell’organizzazione, una funzione di garanzia della confomità della circolazione e della protezione dei dati personali alle normative vigenti in materia di “data protection”: il DPO con riferimento al contesto UE e il Consulente per la protezione dei dati se invece facciamo riferimento alla nostra Svizzera.Inizialmente è stata fatta una breve “panoramica storica” sulla nascita di questo ruolo, che ha permesso di comprendere che la figura del DPO non è così recente come pensiamo, in quanto nel mondo anglosassone, era già conosciuto da tempo con il nome di Chief Privacy Officer o Privacy Officer sin dal 1999.
Nel contesto americano questo ruolo, era fondamentalmente nato, da una parte per dare una “risposta di garanzia dei trattamenti” ai consumatori, sempre più preoccupati in relazione alle attività di trattamento dei propri dati personali sanitari e finanziari e dall’altra per far si che le organizzazioni avessero al proprio interno una figura professionale in grado di gestire la protezione dei dati rispetto in conformità con le normative e le regolamentazioni in materia sempre in continua evoluzione. In Europa è con l’avvento del Regolamento 679/2016 (GDPR) che viene formalmente disciplinato il DPO nei suoi requisiti e compiti, sebbene già verso la fine degli anni ’90, le Direttive vigenti, prevedevano la necessità per le organizzazioni di nominare un incaricato della gestione dei dati personali; in Svizzera, grazie alle modifiche apportate alla LPD nel 2008, viene introdotto il concetto di “autoregolazione” delle imprese e conesso la figura del Responsabile per la protezione dei dati, che se nominato esonera l’organizzazione dall’obbligo di comunicare all’IncaricatoFederale per la protezione dei dati e della trasparenza (IFPDT) la propria collezione di dati.
La nuova LPD sostituisce la figura del Responsabile con quella del Consulente per la protezione dei dati, con ruolo e funzioni del tutto equiparabile al DPO europeo, sebbene con alcune differenze evidenziate dai relatori nel corso dei loro interventi. Secondariamente si è entrati nel merito di quelli che sono i requisiti e le competenze che un DPO o un Consulente devono avere, in particolare sottolineando che sia la normativa svizzera che quella europea presentano sul tema, come “minimo comune denominatore” la necessità che tale figura abbia le “conoscenze tecniche specialistiche necessarie” per poter svolgere in maniera efficiente ed efficace i propri compiti: sicuramente competenze informatiche e familiarità con i sistemi informatici; conoscenza del funzionamento dei processi aziendali, ovvero “come funziona in concreto quell’azienda” in termini di processi; conoscenze specialistiche della normativa in materia di protezione dei dati personali e in maniera collaterale di temi specifici come la video sorveglianza, il diritto del lavoro, la biometria, il marketing, la stampa, ecc.
E’ infine emerso che per poter essere all’altezza del ruolo di DPO/Consulente, non è sufficiente possedere i requisiti professionali sopra menzionati, ma è altresì necessario avere determinate qualità personali, come leadership, capacità comunicative e organizzative, integrità personale, ecc, che consentono a tale figura di essere apprezzata e riconosciuta sia internamente all’organizzazione rispetto al management e ai dipendenti, sia esternamente rispetto all’Autorità di controllo, agli interessati, ad altri DPO.Il DPO/Consulente è quindi una figura caratterizzata da “multicompetenze”, ed è per tale motivo che attraverso il webinar è emerso che spesso questo ruolo viene affidato a un team di persone con background professionali differenti (legale, informatico, di risk management, di gestione dei processi).
Nel corso del webinar è stato poi affrontato il tema dell’obbligatorietà o meno della nomina del DPO/Consulente da parte delle organizzazioni, giungendo alla conclusione, che indipendentemente dalla facoltatività o meno della nomina, l’affidamento di questo ruolo ad una risorsa interna o esterna(attraverso un contratto di servizi) rappresenta un’opportunità strategica e una semplificazione per l’organizzazione, che è così in grado di poter usufruire sempre, di un supporto di competenza multidisciplinare, e di dimostrare la propria Accountability (in senso sostanziale) e altresì la sua capacità di dare immediato riscontro ad una eventuale richiesta degli interessati, ad un’ispezione dell’autorità di controllo.L’attenzione si è poi spostata su quelli che sono i compiti affidati al DPO/Consulente, che nello svolgimento delle proprie funzioni, deve sempre avere un approccio basato sui rischi inerenti i trattamenti dei dati personali dell’organizzazione di riferimento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle specifiche finalità dei medesimi; con un’importante premessa...e cioè che l’organizzazione che lo ha nominato, deve metterlo nelle condizioni sostanziali di poter lavorare in maniera efficiente ed efficace, mettendogli a disposizione le risorse economiche ed organizzative necessarie.
Per ultimi sono stati poi affrontati i concetti di indipendenza e assenza di conflitto di interesse, ovvero della necessità che ilDPO/Consulente svolgano i propri compiti in maniera autonoma, senza ricevere alcun tipo di istruzione e/o penalizzazione da parte dell’organizzazione che l’ha nominato e soprattutto che tale funzione non venga rivestita internamente da chi già assume un ruolo apicale che comporti la definizione delle modalità o delle finalità di trattamento di dati personali. Tutto ciò anche al fine di evitare possibili sanzioni da parte delle autorità di controllo competenti.Questo webinar costituisce solo l’inizio di una serie di ulteriori incontri formativi che Security Lab ha in serbo sul tema della protezione dei dati personali, anche alla luce dell’approvazione della nuova Legge Federale sulla protezione dei dati il 25 settembre scorso.
Per tenervi aggiornati sulle iniziative che verranno promosse iscrivetevi alla newsletter compilando il forum che troverete al suo interno.
Argomenti trattati