Il Regolamento UE 2016/679 sarà operativo tra circa un anno, ma una ricerca mostra che il 32% delle imprese non sa ancora se rientra o no nell’obbligo di nomina del data protection officer, e un’azienda su cinque ha collocato la funzione privacy nell’area IT, con rischi di conflitti d’interesse e sanzioni.
A rischio anche l’aspettativa per una norma tecnica sulle figure professionali del settore, che attribuirebbe al DPO molte competenze informatiche, mentre l’art. 37 del nuovo testo richiede che debba essere designato in funzione della conoscenza specialistica della normativa.
Potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale dei trasgressori le sanzioni previste dal nuovo Regolamento UE 2016/679 che sarà applicabile dal 25 maggio 2018, tanto è che tre aziende italiane su quattro si sono organizzate prevedendo nel loro organigramma una specifica funzione per la protezione dei dati personali.
E se l’entità delle multe ha convinto il 75,7% delle imprese a dotarsi anche di un referente interno per occuparsi dei temi della privacy, il rovescio della medaglia è che in realtà il 32% delle aziende non sa ancora se rientra o meno nell’obbligo di designare un data protection officer, e nel dubbio il 72% non ha nominato nessuno per ricoprire questo ruolo.
Questa è la fotografia scattata da una ricerca condotta dall’Osservatorio di Federprivacy su un campione di circa mille aziende italiane che tra poco più di anno dovranno farsi trovare conformi alle nuove regole sulla protezione dei dati.
Ma che una fetta importante delle imprese italiane non abbia ancora le idee chiare sui temi della privacy, è confermato dal fatto che anche tra quelle che il data protection officer lo hanno già nominato, nel 25% dei casi è stato selezionato un candidato con un titolo di studio informatico, e un’azienda su cinque (20%) ha scelto una risorsa con retaggio IT, e questo nonostante l’art.37 del nuovo testo richieda di designare il responsabile della protezione dei dati (DPO) “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”. Inoltre, ben il 22% delle aziende intervistate ha collocato la funzione nell’area dell’Information Technology, esponendosi in tal modo anche a rischi di sanzioni, come osserva Nicola Bernardi, presidente di Federprivacy:
“L’art.38 del Regolamento richiede che il titolare debba assicurarsi che i compiti svolti dal data protection officer non diano adito a un conflitto di interessi, ma se tali funzioni vengono svolte all’interno del reparto IT, dove generalmente vengono trattati la maggior parte dei flussi di dati aziendali, questo produce nella maggior parte dei casi una sorta di auto-monitoraggio in cui una funzione dovrebbe controllare il proprio operato, in contrasto con le disposizioni del Regolamento”.
E se le tendenze emerse dalla ricerca rivelano che il quadro attuale presenta diverse incertezze sulla corretta attuazione delle prescrizioni del Regolamento UE, rischia di disattendere le aspettative anche la norma tecnica arrivata all’inchiesta pubbliche finale in UNI, che è stata elaborata con l’obiettivo di definire varie figure professionali del settore, tra le quali lo stesso data protection officer, che però al momento risulta sia generico sul piano delle necessarie competenze giuridiche, sia arricchito di molti altri skill informatici che lo allontanano dal profilo descritto nel testo di legge, non contribuendo così a fornire un corretto e chiaro orientamento di cui avrebbero bisogno le imprese per arrivare conformi al 25 maggio 2018.
Naturalmente, come prevede la prassi per le norme tecniche, il documento in questione (Cod. Progetto E14D00036) è soggetto a modifiche da parte di UNI in base ai commenti di tutte le parti interessate, che potranno essere inviate all’ente italiano di normazione fino al 25 marzo 2017.
Fonte: Federprivacy.it