Come ormai le organizzazioni hanno constatato, rispettare la normativa privacy non è più una attività una tantum, ne le assegnazioni dei ruoli determinanti in organigramma privacy possono essere fatte al primo soggetto che capita o che si rende disponibile a svolgerlo.
Una delle novità più rilevanti, introdotta dal GDPR, riguarda il concetto di Accountability; si tratta di responsabilizzare tutta l’azienda, anche incentivando una reale consapevolezza di tutti i soggetti coinvolti nei trattamenti di dati personali e nella loro protezione.
Il Titolare del Trattamento – che non è il legale rappresentante della azienda, come talvolta ancora si legge in qualche informativa – ha la responsabilità di adottare un approccio basato sulla gestione rischio, oltre che a mettere in atto misure tecniche ed organizzative adeguate a garantire ed essere in grado di dimostrarlo, che il trattamento è conforme alla normativa di protezione dei dati personali; dette misure sono riesaminate ed aggiornate qualora necessario.
Quindi occorre adottare un sistema di gestione della privacy, (noi lo definiamo Data Protection Model) che deve essere adottato e costantemente operativo ; si dovranno assegnare delle responsabilità, siano esse interne che esterne; i vari ruoli di responsabili ed incaricati sono chiaramente richiesti dal Regolamento UE 679/2016.
Esistono anche alcune figure che non sono menzionate nel GDPR, la cui mancanza crea un vulnus alla protezione dei dati; si pensi al ruolo degli amministratori di sistema (sys-admin), grandissimo assente nel Regolamento ma figura assolutamente rilevante in una infrastruttura informatica moderna.
Una ulteriore figura assente nel Regolamento, parimenti importantissima, è quella che noi chiamiamo Referente Privacy; in altri contesti viene talvolta identificata come Privacy Manager, Privacy Specialist oppure Privacy Officer.
In qualunque modo la si voglia chiamare, si tratta di una figura centrale nell’organigramma privacy aziendale; esso svolge le funzioni di “abilitatore”, “coordinatore”, “supervisore”, “suggeritore”, “problem-solver”, quindi un reale punto di riferimento privacy aziendale; deve avere autonomia operativa e intessere rapporti diretti con il C.D.A. o la proprietà, con i quali interagisce.
Anche le stesse Autorità di Controllo Europee promuovono la figura del Referente Privacy; attualmente non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi professionali, o disporre di certificazioni, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze.
L’importanza delle competenze del ruolo è anche rappresentata allo schema UNI 11697:2017 (Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza), che identifica ben due profili (Specialista Privacy e Manager Privacy), le cui competenze individuate dallo schema possono essere oggetto di certificazione, a qualifica dei soggetti chiamati a svolgere la funzione di Referente Privacy aziendale.
Informiamo – per completezza – che il ruolo di referente privacy può essere attualmente svolto anche da soggetti non laureati, tenendo sempre presente che la sua formazione – in tema di normativa privacy e di protezione dei dati personali – è estremamente importante.
Si tratta quindi di una figura dalle competenze multi-disciplinari, che contribuisce al buon funzionamento del Modello organizzativo di Gestione Privacy (DataProtection Model); la sua presenza è essenziale specialmente quando l’organizzazione ha nominato il Responsabile della Protezione dei Dati, il quale avrà nel Referente Privacy il suo referente presso l’azienda.
Da questa certezza, proveniente da anni di consulenza in aziende ed organizzazioni, abbiamo realizzato e reso disponibile uno specifico corso di formazione per Referenti Privacy; si tratta di un corso avanzato, da somministrare a soggetti che hanno già le basi della normativa di protezione dei dati personali (esempio, hanno fatto il corso di incaricato al trattamento di dati personali).
Ulteriori informazioni alla pagina specifica del corso referente privacy; di recente è terminato un corso svolto sulla piattaforma FAD e presto è programmata una nuova sessione del corso Referenti Privacy Aziendali; per ulteriori informazioni o necessità, contattateci.