Come ormai le organizzazioni hanno constatato, rispettare la normativa privacy non è più una attività una tantum, ne le assegnazioni possono essere fatte al primo che capita.
Una delle novità più rilevanti, introdotta dal GDPR, riguarda il concetto di Accountability; si tratta di responsabilizzare tutta l’azienda, anche incentivando una reale consapevolezza di tutti i soggetti coinvolti.
Il Titolare del Trattamento – che non è il legale rappresentante della azienda, come talvolta ancora si legge – ha la responsabilità di adottare un approccio basato sulla gestione rischio, oltre che a mettere in atto misure tecniche ed organizzative adeguate a garantire ed essere in grado di dimostrarlo, che il trattamento è conforme alla normativa di protezione dei dati personali; dette misure sono riesaminate ed aggiornate qualora necessario.
Quindi occorre adottare un sistema di gestione della privacy, che deve essere operativo ogni giorno; si dovranno assegnare delle responsabilità, siano esse interne che esterne; i vari ruoli di responsabili ed incaricati sono chiaramente richiesti dal Regolamento.
Esistono anche alcune figure che non sono menzionate nel GDPR, la cui mancanza crea un vulnus alla protezione dei dati; si pensi al ruolo degli amministratori di sistema, grandissimo assente ma figura essenziale in una infrastruttura informativa moderna.
Una ulteriore figura assente nel Regolamento, parimenti importantissima, è quella che noi chiamiamo Referente Privacy; in altri contesti viene identificata come Privacy Manager, Privacy Specialist, Privacy Officer.
Si tratta di una figura centrale nell’organigramma aziendale; esso svolge le funzioni di “abilitatore”, “coordinatore”, “supervisore”, “promotore”, “facilitatore”, un reale punto di riferimento privacy aziendale; deve avere autonomia operativa e intessere rapporti diretti con il C.D.A. o la proprietà, con i quali interagisce.
Anche le stesse Autority di Controllo promuovono la figura del Referente Privacy; attualmente non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi professionali, o disporre di certificazioni, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze.
Si tratta quindi di una figura dalle competenze multi-disciplinari, che contribuisce al buon funzionamento del Modello organizzativo di Gestione Privacy (DataProtection Model); la sua formazione è quindi importante.
Da questa certezza, proveniente da anni di consulenza in aziende ed organizzazioni, abbiamo realizzato e reso disponibile uno specifico corso di formazione per Referenti Privacy; si tratta di un corso avanzato, da somministrare a soggetti che hanno già le basi della normativa di protezione dei dati personali.
Ulteriori informazioni alla pagina specifica del corso referente privacy; di recente è terminato un corso svolto sulla piattaforma FAD e presto è programmato una nuova sessione del corso Referenti Privacy Aziendali; per ulteriori informazioni, contattateci.