Di: Kryptus
Come data di entrata in vigore del Legge generale sulla protezione dei dati, Legge 13.709/2018, i responsabili del trattamento dei dati, in particolare le aziende private, stanno iniziando a muoversi sempre più per ottemperare ai propri mandati. In questo scenario, uno dei punti più importanti è la necessità per i titolari e gli operatori di indicare chi sarà la persona, fisica o giuridica, che sarà incaricata del trattamento dei dati personali in azienda, ovvero chi sarà il Responsabile del Trattamento dei Dati, denominato nella legislazione estera. “Responsabile della protezione dei dati”, il già famoso “RPD”Sapendo questo, molti dei giocatori sul mercato, siano essi studi legali o aziende focalizzate sulla sicurezza informatica, hanno pubblicizzato i loro servizi “DPO come servizio”, ovvero l'esternalizzazione dei servizi del Responsabile della Protezione dei Dati. Tuttavia, questa potrebbe non essere l'opzione più vantaggiosa per la vostra azienda.
La LGPD prevede, al suo art. 5, VIII, che il Responsabile è il “persona nominata dal titolare del trattamento e dal gestore per fungere da tramite di comunicazione tra il titolare del trattamento, gli interessati e l’Autorità nazionale per la protezione dei dati”. Più avanti, all'art. 41, §2°, la Legge generale sulla protezione dei dati definisce le funzioni del responsabile della protezione dei dati, che sono:
Art. 41, §2°, LGPD: Le attività del responsabile consistono inIo – accolgo reclami e comunicazioni dei titolari, fornisco chiarimenti e adotto provvedimenti;
II – ricevere comunicazioni dall’autorità nazionale e adottare misure;
III – orientare i dipendenti e i collaboratori dell’ente in merito alle pratiche da adottare in materia di protezione dei dati personali; e
IV – svolgere altre mansioni determinate dal titolare del trattamento o stabilite in norme complementari.
Pertanto, oltre al ruolo del responsabile della protezione dei dati come tramite di comunicazione tra gli interessati, gli incaricati del trattamento dei dati e l'Autorità nazionale per la protezione dei dati, la LGPD stabilisce espressamente che il responsabile della protezione dei dati è tenuto a orientare i dipendenti dell'azienda in merito alle pratiche di protezione dei dati da adottare, oltre ad altri compiti che possono essere definiti dal titolare del trattamento dei dati e dall'azienda stessa. ANPD.
Ma non è tutto. Le best practice internazionali indicano che il Responsabile della Protezione dei Dati (DPO) svolge anche altre funzioni fondamentali per la creazione e il mantenimento di una cultura di protezione dei dati e della privacy nelle aziende: redigere o assistere nella redazione di report di impatto sulla protezione dei dati, partecipare alle decisioni strategiche dell'azienda relative a nuovi progetti, prodotti e servizi, supportare la sensibilizzazione e la formazione dei dipendenti sull'importanza della protezione dei dati personali e della tutela della privacy, tra le altre.
Sulla base di queste precisazioni, sorge spontanea la domanda: l'assunzione di un “DPO come servizio” È l'opzione migliore per la tua azienda? La risposta, come quasi sempre, è "dipende". Ma ci sono più motivi negativi che positivi. Vedi:
Da un lato, l'assunzione di un Supervisore completamente esternalizzato, ovvero l'assunzione dei servizi di un Supervisore, può essere vantaggiosa se, in primo luogo, si prevede un esborso finanziario immediato. In questo modo, l'azienda non avrebbe gli stessi costi che avrebbe se assumesse qualcuno per svolgere questo compito internamente, né dovrebbe investire maggiori risorse per formare un team e rendere la propria attività sostenibile. In questo modo, si affiderebbe al servizio e ne trasferirebbe la responsabilità legale a terzi.
Considerando la condizione economica del paese, la mancanza di una cultura di protezione dei dati in Brasile e la prossimità della validità del GDPR, è comprensibile che le aziende pensino di adottare una strategia del genere.
Analizzando la questione più a fondo, però, è chiaro che assumere semplicemente un Manager come servizio sarebbe interessante solo nel breve termine, poiché l'azienda dipenderebbe sempre dalla fornitura di questo servizio da parte di soggetti terzi.
Il patrimonio informativo, in particolare i dati personali, ha assunto un'importanza sempre maggiore nello sviluppo dell'attività economica, per cui la Legge generale sulla protezione dei dati non intende essere una mera "onda passeggera", così come i progetti di adeguamento non hanno una "fine programmata", motivo per cui le aziende, praticamente tutte, devono, più che concentrarsi sul rispetto della LGPD nell'agosto 2020, comprendere che la protezione dei dati personali e, di conseguenza, della privacy sono questioni obbligatorie per la continuità aziendale, nonché per il suo pieno sviluppo.
Detto questo, assumere il Manager come servizio è controproducente, poiché non sarà integrato nella struttura aziendale e, quindi, non sarà in grado di contribuire in modo efficace e duraturo alla cultura che deve essere adottata affinché il business si evolva.
Sarebbe meglio, quindi, assumere quello che chiamiamo “Operazione Assistita”.
In questo caso, l'azienda nomina un Responsabile della Protezione dei Dati per il trattamento interno dei dati, ovvero all'interno della propria struttura, evitando così i costi legati all'assunzione di un nuovo professionista. Per rendere praticabile la sua attività di Responsabile della Protezione dei Dati, si avvale di un servizio di "Assisted Operation", che mira a supportare le attività e i compiti del Responsabile della Protezione dei Dati attraverso una consulenza specializzata in Protezione dei dati e privacy.
In questo tipo di contratto i guadagni per l'azienda sono infinitamente maggiori.
Il primo punto da evidenziare è la curva di apprendimento del professionista incaricato dall'azienda. A differenza del Supervisore come servizio, l'"Operazione Assistita" serve a fornire supporto e consulenza al Supervisore aziendale per lo svolgimento delle sue mansioni, contribuendo così al suo apprendimento in materia, cosa ben diversa dall'avere una terza persona responsabile dell'esecuzione dell'intero servizio.
Inoltre, per l'efficace svolgimento delle proprie mansioni, si raccomanda al Responsabile di integrare l'alta dirigenza nella struttura organizzativa aziendale, in quanto è responsabile di guidare il trattamento dei dati in tutta l'azienda, sia a partire dall' core business, sia dagli stessi dipendenti, spesso interferendo in decisioni di grande impatto sull'azienda, cosa che non accadrebbe mai con la loro completa esternalizzazione.
L'articolo 46, paragrafo 2, della LGPD prevede inoltre che le misure di protezione dei dati debbano essere adottate fin dalla concezione di progetti, prodotti e/o servizi, un obbligo che decorre dalla vigenza della legge, ma non ha una data di scadenza. Pertanto, contraendo l'"Operazione Assistita", l'azienda investirà di fatto nel proprio futuro, una volta acquisita know-how in termini di privacy e protezione dei dati.
L'elenco dei vantaggi è davvero ampio. La relazione d'impatto sulla protezione dei dati, un processo fondamentale per garantire la regolarità di alcune tipologie di trattamento di dati personali e che sarà probabilmente molto richiesto dall'ANPD e dalla Magistratura, dipende, in larga misura, dalla partecipazione del Responsabile della Protezione dei Dati e avere un professionista in grado di svolgerla con qualità può rappresentare un importante elemento di differenziazione per l'azienda.
Come se non bastasse, per il successo dei progetti di attuazione o di adattamento GDPR, l'azienda deve essere consapevole che gli sforzi non terminano ad agosto 2020, ma sono solo all'inizio e rappresentano un compito continuo.
Pertanto, l'ideale è che le aziende creino una cultura della protezione dei dati e del rispetto della privacy, affinché questa diventi una costante aziendale, il famoso concetto di "privacy as a standard" applicato alla pratica. Ancora una volta, il Responsabile della Protezione dei Dati esternalizzato non contribuisce in alcun modo a questo arduo compito, trattandosi di un professionista (o di professionisti) senza alcun legame con l'azienda, senza alcuna conoscenza della sua realtà, dei suoi dipendenti, della sua missione, visione e dei suoi valori. Nell'"Operazione Assistita", tuttavia, si sfrutta la partecipazione del Responsabile della Protezione dei Dati interno, soprattutto di quelli a livello organizzativo più elevato, al fine di accrescere l'importanza del tema.
Viene menzionato anche il contributo all'immagine aziendale. GDPR esige che siano indicati pubblicamente i dati identificativi e di contatto del Responsabile, a quel punto l'azienda che si affida ad un mero Responsabile come servizio dimostrerà ai propri consumatori, clienti e partner che la privacy non è importante quanto avere un professionista nella propria struttura, ma solo un altro comfortAl contrario, “Assisted Operation” dimostra chiaramente l’importanza che i dati personali hanno per l’azienda, quanto la privacy sia apprezzata dall’azienda, fungendo così da aggregatore della sua immagine istituzionale.
In definitiva, i vantaggi di realizzare il protezione dati Le preoccupazioni personali e sulla privacy dei principali titolari attivi della vostra azienda sono sempre più grandi, motivo per cui esternalizzare un compito così importante potrebbe non essere la soluzione ideale, in quanto è preferibile "insegnare a pescare" piuttosto che semplicemente "dare il pesce".
Fonte: IT Forum 365
Di: Débora Menezes Uno studio dimostra che il valore delle richieste di riscatto è aumentato da $ 100 a $ 100.000. Per saperne di più
Riconoscere subito i segnali degli attacchi informatici ed evitare intrusioni catastrofiche. In un Per saperne di più