Protezione dati: entro il 25 maggio 2018 servono 75.000 responsabili
Tempo addietro, quando è entrato in vigore il nuovo regolamento europeo sulla protezione e libera circolazione dei dati, abbiamo indicato, sulla base di uno studio preliminare, in 25.000 i responsabili della protezione dei dati, di cui i titolari del trattamento, in tutta Europa, avranno bisogno alla data di entrata in vigore del regolamento. Questa cifra è stata adesso profondamente revisionata.
Confesso che anch’io sono rimasto sorpreso davanti a questo numero, che modifica in modo drammatico la valutazione condotta poco meno di un anno fa.
In realtà, un attento studio dei titolari del trattamento che hanno bisogno di questa figura professionale, e faccio quindi riferimento a tutte le autorità pubbliche d’Europa, e a tutti i titolari di trattamento che trattano dati personali su larga scala o che trattano su larga scala particolari categorie di dati, dimostra che questo numero è più realistico di quanto non si possa pensare.
La ampiezza delle competenze del responsabile della protezione dei dati fa sì che esso sia profondamente coinvolto nell’attività quotidiana di trattamento e quindi possa essere difficile, per un singolo responsabile della protezione dei dati, collaborare fruttuosamente con molti e diversi titolari, che sviluppano trattamenti ben diversi fra di loro.
È probabile quindi che sorgano delle organizzazioni specializzate, che potranno offrire questi servigi a una moltitudine di clienti, tenendo tuttavia presente che molte attività possono richiedere un impegno temporale significativo, come ad esempio la partecipazione a gruppi di lavoro interni all’azienda, titolare del trattamento, lo sviluppo di documentazione di formazione interna, l’effettuazione di audit periodici delle attività di trattamento ed altre attività assimilate.
Se poi si verifica una violazione dei dati, con ogni probabilità il responsabile del trattamento sarà impegnato a tempo pieno per giorni e forse settimane!
Il fatto che un responsabile del trattamento dei dati personali possa anche svolgere altre funzioni, all’interno dell’azienda, non è proibito in assoluto, ma l’articolo 38 del regolamento ed anche la interpretazione data dall’articolo 29 Working Party impone che queste altre attività non portino ad alcun conflitto di interesse con le attività primarie del responsabile della protezione.
Questo fatto può quindi creare problemi non indifferenti, perché molto spesso il responsabile della protezione dei dati è stato già coinvolto nello sviluppo di valutazioni di impatto ed altre attività di valutazione di sicurezza del trattamento, che poi egli stesso dovrebbe controllare.
Ecco perché, ad esempio degli Stati Uniti, le aziende che utilizzano un servizio esterno di assistenza per analizzare le modalità di trattamento dei dati si rivolgono poi a servizi esterni diversi, per effettuare un audit ed altri controlli.
L’utilizzo di soggetti terzi pone poi un ulteriore problema, legato alle modalità di copertura dei costi di questi soggetti terzi.
Le due tipologie più frequentemente usate, soprattutto negli Stati Uniti, sono basate su una tariffa oraria, ad esempio dell’ordine di 200 dollari all’ora od anche di più, oppure una tariffa fissa mensile, che però può essere molto difficile da determinare all’atto della stipula del contratto.
Occorre inoltre fare molta attenzione al fatto che questi servizi esterni devono essere in condizioni di garantire un’assoluta assenza di conflitti di interessi, magari discendenti dal fatto che in precedenza questi stessi servizi avevano già offerto assistenza al titolare del trattamento.
La faccenda diventa ancora più complicata se il titolare del trattamento svolge la sua attività anche in altri paesi, magari operanti su fusi orari ben diversi.
In una recente esperienza, si è potuto accertare che un titolare del trattamento europeo, che svolgeva la sua attività di trattamento anche in Singapore, aveva incontrato grosse difficoltà nel gestire correttamente, con un solo responsabile della protezione, basato in Europa, le attività di trattamento svolte in Europa ed a Singapore.
Infine, dobbiamo ancora oggi registrare il fatto che la sensibilità dei titolari, nei confronti di quest’esigenza, lascia molto a desiderare e ci si deve quindi aspettare una situazione di crisi, che con ogni probabilità si verificherà nei primi mesi del 2018, quando ci si renderà conto che il 25 maggio 2018 è molto più vicino di quanto non si creda.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.