Geek Academy

La figura del Data Privacy Officer e il GDPR

Vuoi diventare un Data Protection Officer? Vediamo di cosa si occupa questa figura che dal 2018 sarà obbligatoria per i 26 paesi dell’Unione Europea.

La figura del Data Privacy Officer e il GDPR

Condividi su:

Chi è e cosa fa il Data Protection Officer?

Il regolamento europeo "Global Data Protection Regulation” (GDPR) prevede, all'interno dello scenario della sicurezza informatica aziendale, diverse figure preposte al trattamento, all'elaborazione e alla protezione dei dati, attribuendo perciò ai dati un ruolo crescente, anche e soprattutto dal punto di vista giuridico, allo scopo di consentirne un'adeguata protezione. I dati sono infatti il vero bersaglio principale di moltissimi tipi di attacchi informatici perpetrati sempre di più da organizzazioni criminali organizzate ed operanti puramente nello spazio cibernetico (si parla in questo caso di Cybersecurity).

Anche solo restando nello scenario della sicurezza aziendale però, il GDPR fornisce finalmente un impianto di governance adeguato per le aziende che raccolgono, gestiscono ed elaborano dati siano essi propri o di altri soggetti (ad es. dati sensibili/personali).

La direttiva regolerà il trattamento e la gestione dei dati con determinate disposizioni che dovranno essere rispettate da tutte le aziende dei 28 stati membri dell'Unione Europea. Non saranno coinvolte solo le aziende con sede nell'UE ma anche quelle che, seppur con sede al di fuori dell'Unione Europea, operano su dati di uno stato che ne fa parte. Per le aziende che non seguono e rispettano questa precisa normativa sono previste sanzioni molto severe.

Alcune norme del GDPR entreranno in vigore nel corso del 2018, altre lo sono già. Tra di esse si prescrive che ogni azienda tratti i dati sotto la responsabilità di data controller che può a sua volta demandare la protezione di questi ultimi ad un Responsabile della Protezione dei Dati (ovvero il Data Protection Officer, DPO in inglese). Tale figura, che può essere o meno un impiegato dell'azienda (ad esempio un libero professionista che lavora per varie aziende contemporaneamente), è preposta a vigilare siano poste in essere, e costantemente attuate, tutte le procedure tecniche nonché amministrative che assicurino il corretto trattamento e protezione dei dati secondo quanto prescritto nel GDPR.

Il GDPR, il Regolamento generale sulla protezione dati in vigore dal 2018

Dal 25 maggio 2018 entrerà in vigore il Regolamento europeo 2016/679, il “Regolamento generale sulla protezione dei dati (GDPR – General Data Protection Regulation)” sul trattamento dei dati personali per  garantirne la protezione e la circolazione, che sarà obbligatorio per le autorità, per quasi tutti gli organismi pubblici e per chi tratta dati sensibili o giudiziari.

La normativa relativa “alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” prevede che per tutte le imprese, pubbliche e private, che si occupano del trattamento dei dati personali sarà obbligatorio avere nell'organico la figura del Data Protection Officer, un responsabile della protezione dati che si occuperà appunto di predisporre un piano per garantire la sicurezza del trattamento dati all'interno di un'azienda.

In vista del GDPR le aziende europee dovranno organizzarsi per capire come gestire al meglio i propri dati e, secondo le ultime indagini, sembra che non siano ancora pronte per questo tipo di organizzazione.

Le figure responsabili dei dati all'interno delle aziende (data controller e data processor, secondo la normativa GDPR) dovranno avvertire le autorità che si occupano di protezione dati inviando la segnalazione di avvenuta violazione entro 72 ore.

Il Data Protection Officer deve conoscere la normativa e le modalità di gestione dei dati personali in maniera corretta e sicura. È bene che la figura svolga la sua funzione in piena autonomia sia che lavori come dipendente che come collaboratore esterno al fine di non avere nessuna influenza esterna che comprometta il suo modus operandi.

I compiti del Data Protection Officer sono descritti nell'art. 39 del Regolamento e riassumendo possiamo dire che il responsabile dei dati deve:

  • informare il personale che si occupa di protezione dati delle disposizioni previste dal GDPR, dall'Ue e dalle norme di ogni stato;
  • verificare che le normative vengano attuate e rispettate;
  • essere un punto di riferimento, e anche fare da ponte, per il Garante della Privacy e per i responsabili dell'area trattamento dati;
  • ma soprattutto assicurare il rispetto delle norme al fine di evitare sanzioni.

 

La formazione da Data Protection Officer come parte del corso in Information Security & Privacy Management della Geeks Academy

La figura del DPO, con un background misto tra l'informatica e la giurisprudenza in merito di trattamento di dati e privacy, avrà, tra le altre mansioni, il compito di effettuare valutazioni d'impatto sulla protezione dei dati (Art. 35 del GDPR). Proprio a tale scopo il DPO è un esperto della privacy e del trattamento dei dati. Il GDPR introduce anche le figure del data controller e del data processor, rispettivamente il titolare e il responsabile del trattamento dei dati. Tuttavia, inserendosi nell'attuale scenario d'impresa di oggi, il trattamento dei dati riguarda trasversalmente tutte le procedure operative e amministrative dell'azienda così come la tecnologia adottata durante il ciclo di vita del “dato”: dalla sua generazione, o acquisizione, fino al suo stoccaggio o distruzione.

Proprio per questi motivi, per il nostro corso abbiamo inserito il regolamento GDPR nel quadro più generale dell'Information Security & Privacy Management che è quel ramo che tratta il rischio d'impresa relativo alla tecnologia informatica. Questo corso non prepara solo alla formazione per diventare DPO, infatti, ma permette di acquisire una competenza sulle metodologie di gestione della sicurezza informatica, con una panoramica completa di ogni passo della tecnologia coinvolta nella sua messa in opera.

La crittografia e l'identità digitale nei nuovi regolamenti europei

Altri due regolamenti europei già in vigore forniscono l'impianto normativo per i sistemi di identificazione e i sistemi fiduciari elettronici (es. SPID, firme e sigilli elettronici, posta elettronica certificata, ecc.) e in generale la definizione delle procedure per la sicurezza informatica, consentendone un mutuo riconoscimento e soprattutto definendone la validità giuridica transfrontaliera nei limiti della Comunità Europea. Tali regolamenti sono “eIDAS” (per i servizi fiduciari) e la “direttiva NIS” (per la sicurezza informatica) e le aziende devono già essere preparate, possibilmente affidandosi a specialisti adeguatamente aggiornati. Proprio per questo motivo, il corso di Information Security & Privacy Management contiene un modulo dedicato allo studio di queste normative e regolamenti in cui verranno anche descritti i principi di funzionamento di due strumenti per l'interazione con le Amministrazioni Pubbliche: il sistema pubblico di identità digitale (SPID) e la posta elettronica certificata (PEC).

Più che concentrarsi sulle le tecniche di sicurezza difensiva e offensiva, in questo corso si apprenderanno le metodologie e la nomenclatura ad alto livello per creare i vari tipi di piani di sicurezza e inserire procedure, norme e comportamenti all'interno degli strumenti di governance già esistenti nell'impresa. Il corso fornirà comunque a tutti le basi tecnologiche relativamente ai sistemi di sicurezza (tipologie di controlli di sicurezza, crittografia a chiave pubblica e modelli di fiducia, gestione delle identità e delle autorizzazioni informatiche, sicurezza delle reti e loro protezione, dei S.O. e del software applicativo) per capire i motivi tecnici delle vulnerabilità dei sistemi informatici e come mitigarle. Il corso farà anche una revisione dei principali attacchi cibernetici degli ultimi anni e farà alcune considerazioni critiche su come prepararsi per il futuro.

Corso per diventare un Privacy Data Officer

Dal prossimo novembre sarà possibile frequentare il corso di Information Security e Privacy Management della Geeks Academy. Il corso sarà tenuto da Walter Arrighetti - professionista Certificato della Sicurezza dei Sistemi Informativi (CISSP®) nonché consulente in ambito Cloud, Security e Imaging - e fornirà le competenze necessarie per lavorare come Data Privacy Officer in aziende sia pubbliche che private. Il corso formerà quindi dei Responsabili della Sicurezza Informatica in grado di capire la provenienza di eventuali minacce e conoscere i mezzi giusti per identificarle e contrastarle.

 

LEGGI TUTTE LE NEWS