LA FIGURA DEL DATA PROTECTION OFFICER E IL GDPR

Hai sentito parlare di Data Protection Officer e vorresti avere qualche informazione in più su questa figura professionale? Vediamo insieme chi è quali sono le sue aree di competenza, una figura che dal 2018 è diventata obbligatoria per i 26 paesi dell’Unione Europea.

Chi è il Data Protection Officer?

Avrai sicuramente sentito parlare del GDPR, “Global Data Protection Regulation”  il regolamento europeo sulla protezione dei dati. Questa normativa entrata in vigore nel 2018 prevede che tutti gli scenari aziendali predispongano diverse figure dedicate al trattamento, all’elaborazione e alla protezione dei dati. Questa normativa si è resa necessaria all’interno di un mondo altamente interconnesso come quello odierno, dove il ruolo della protezione dei è divenuto sempre più centrale all‘interno del dibattito della legislazione europea. L’esigenza di normare questi temi è apparsa ancor più necessaria in seguito ad alcuni attacchi informatici perpetrati in maniera sempre più frequente da organizzazioni criminali operanti puramente nello spazio cibernetico (si parla in questo caso di Cybersecurity) su dati sensibili di diverse realtà istituzionali e aziendali.

Non solo sicurezza informatica, infatti, anche solo restando nello scenario della sicurezza aziendale, il GDPR consente di avere a disposizione un impianto di governance adeguato alle aziende che raccolgono, gestiscono ed elaborano dati siano essi propri o di altri soggetti (ad es. dati sensibili/personali).

Il GDPR norma il trattamento e la gestione dei dati con determinate disposizioni che devono essere rispettate da tutte le aziende dei 27 stati membri dell’Unione Europea. Da notare che il regolamento si estende, non solo ad aziende con residenza fiscale in UE, ma anche a quello che operano nel mercato comunitario, seppur con sede al di fuori dell’Unione Europea. Per le aziende che non seguono e rispettano questa precisa normativa sono previste sanzioni molto severe. 

La materia del GDPR stabilisce che ogni azienda che tratta i dati sotto la responsabilità di data controller può a sua volta domandare la protezione di questi ultimi ad un Responsabile della Protezione dei Dati (ovvero il Data Protection Officer, DPO in inglese). Questa figura professionale, può essere un impiegato dell’azienda o un collaboratore esterno, come un libero professionista che he lavora contemporaneamente per più aziende. Il suo compito è quello di vigilare  che siano poste in essere, e costantemente attuate, tutte le procedure tecniche nonché amministrative che assicurino il corretto trattamento e protezione dei dati secondo quanto prescritto nel GDPR.

Il GDPR, il regolamento europeo sulla protezione dei dati

Era il 25 maggio 2018 quando è entrato ufficialmente in vigore il nuovo Regolamento europeo 2016/679, meglio noto come “Regolamento generale sulla protezione dei dati (GDPR – General Data Protection Regulation)”, un insieme di normative sul trattamento dei dati personali che ne garantisce la protezione e la circolazione, obbligatorio per le autorità, per quasi tutti gli organismi pubblici e per chi tratta dati sensibili o giudiziari.

La voce trattante “la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” obbliga tutte le imprese, pubbliche e private, che si occupano del trattamento dei dati personali ad inserire nel proprio organico la figura del Data Protection Officer, il professionista responsabile del trattamento e della protezione dati, il cui compito è quello di predisporre un piano per garantire la sicurezza del trattamento dati all’interno di un’azienda.

Appare chiaramente da quanto detto finora che tutte le aziende europee debbano organizzarsi per capire come gestire al meglio i propri dati. Purtroppo a ben due anni dall’emanazione del decreto, sembra che ancora non tutte le aziende siano preparate per questo tipo di organizzazione.

Il data controller e il data processor hanno, inoltre, il compito di avvertire le autorità che si occupano di protezione dati inviando la segnalazione di avvenuta violazione entro 72 ore.

Il Data Protection Officer è un professionista che conosce in maniera approfondita la normativa e le modalità di gestione dei dati personali in maniera corretta e sicura. È bene che la figura svolga la sua funzione in piena autonomia sia che lavori come dipendente che come collaboratore esterno al fine di non avere nessuna influenza esterna che comprometta il suo modus operandi.

I compiti del Data Protection Officer sono descritti nell’art. 39 del Regolamento e riassumendo possiamo dire che il responsabile dei dati deve:

• informare il personale che si occupa di protezione dati delle disposizioni previste dal GDPR, dall’Ue e dalle norme di ogni stato;
• verificare che le normative vengano attuate e rispettate;
• essere un punto di riferimento, e anche fare da ponte, per il Garante della Privacy e per i responsabili dell’area trattamento dati;
• ma soprattutto assicurare il rispetto delle norme al fine di evitare sanzioni.

La formazione da Data Protector Officer

Il DPO è una figura professionale ibrida che unisce un background tra l’informatica e la giurisprudenza in merito di trattamento di dati e privacy. Rientra tra le sue mansioni il compito di effettuare valutazioni d’impatto sulla protezione dei dati (Art. 35 del GDPR), per questo motivo il DPO è considerato un esperto della privacy e del trattamento dei dati. 

Il GDPR introduce nel mondo aziendale anche le figure del data controller e del data processor, rispettivamente il titolare e il responsabile del trattamento dei dati. Tuttavia, inserendosi nell’attuale scenario d’impresa di oggi, il trattamento dei dati riguarda trasversalmente tutte le procedure operative e amministrative dell’azienda così come la tecnologia adottata durante il ciclo di vita del “dato”: dalla sua generazione, o acquisizione, fino al suo stoccaggio o distruzione.

Per poter offrire una risposta alle crescenti richieste di formazione specifica in questo ambito, Geeks Academy ha inserito nei suoi corsi abbiamo il regolamento GDPR nel quadro più generale dell’Information Security & Data Protection che è quel ramo che tratta il rischio d’impresa relativo alla tecnologia informatica. 

I percorsi proposti da Geeks Academy non preparano solo alla formazione per diventare DPO, ma consentono allo studente anche di acquisire una competenza sulle metodologie di gestione della sicurezza informatica, con una panoramica completa di ogni passo della tecnologia coinvolta nella sua messa in opera e, inoltre, la possibilità di ottenere le certificazioni EXIN riconosciute a livello internazionale.

La crittografia e l’identità digitale 

Il GDPR non è l’unico testo relativo alla protezione dei dati in Europa, esistono infatti altri due regolamenti europei già in vigore che forniscono l’impianto normativo per i sistemi di identificazione e i sistemi fiduciari elettronici (es. SPID, firme e sigilli elettronici, posta elettronica certificata, ecc.) e in generale la definizione delle procedure per la sicurezza informatica, consentendone un mutuo riconoscimento e soprattutto definendone la validità giuridica transfrontaliera nei limiti della Comunità Europea. 

Questi impianti normativi sono “eIDAS” (per i servizi fiduciari) e la “direttiva NIS” (per la sicurezza informatica) e le aziende devono già essere preparate, possibilmente affidandosi a specialisti adeguatamente aggiornati. Proprio per questo motivo, i corsi di Information Security & Privacy Management contengono moduli dedicati allo studio di queste normative e regolamenti in cui verranno anche descritti i principi di funzionamento di due strumenti per l’interazione con le Amministrazioni Pubbliche: il sistema pubblico di identità digitale (SPID) e la posta elettronica certificata (PEC).

Più che concentrarsi sulle le tecniche di sicurezza difensiva e offensiva, in questi corsi si apprenderanno le metodologie e la nomenclatura ad alto livello per creare i vari tipi di piani di sicurezza e inserire procedure, norme e comportamenti all’interno degli strumenti di governance già esistenti nell’impresa. I corsi forniranno comunque a tutti le basi tecnologiche relativamente ai sistemi di sicurezza (tipologie di controlli di sicurezza, crittografia a chiave pubblica e modelli di fiducia, gestione delle identità e delle autorizzazioni informatiche, sicurezza delle reti e loro protezione, dei S.O. e del software applicativo) per capire i motivi tecnici delle vulnerabilità dei sistemi informatici e come mitigarle. Il corso farà anche una revisione dei principali attacchi cibernetici degli ultimi anni e farà alcune considerazioni critiche su come prepararsi per il futuro.

Corsi per diventare Data Protection Officer

Il centro di formazione Geeks Academy offre corsi di EXIN Security Information Management e EXIN Privacy & Data Protection. Il corpo docente dell’istituto è composto da: Walter Arrighetti – professionista Certificato della Sicurezza dei Sistemi Informativi (CISSP®) nonché consulente in ambito Cloud, Security e Imaging; Adolfo Di Fonzo, responsabile divisione Cybersecurity della Digital Engineering; e Alessandro Molari, Ricercatore CeSeNA, Ethical Hacker e Penetration tester. I corsi hanno l’obiettivo di fornire allo studente le competenze necessarie per lavorare come Data Protection Officer in aziende sia pubbliche che private e al termine del programma il vostro profilo sarà in linea con le caratteristiche richieste per un Responsabile della Sicurezza Informatica in grado di capire la provenienza di eventuali minacce e conoscere i mezzi giusti per identificarle e contrastarle.

Vuoi ricevere maggiori informazioni su corsi di formazione di Geeks Academy? Mettiti in contatto con lo staff Emagister, sapremo consigliarti il corso più adatto alle tue esigenze professionali.