NEWS

Il DPO alle prese con lo stato dell’arte

Lo stato dell’arte è un parametro già noto all’interno della normativa europea in più ambiti e settori (ad es. ambiente e safety), che ricorre all’interno della normativa in materia di protezione dei dati personali come benchmark non soltanto in relazione alla gestione della sicurezza ma, più in generale, a tutte le misure tecniche e organizzative coinvolte nei processi di trattamento.

Infatti, gli articoli 32 e 35 GDPR, così come i considerando 78 e 83, vanno a precisare la portata dell’obbligo per le organizzazioni di considerare il parametro dello stato dell’arte, meglio declinato all’interno delle linee guida EDPB 4/2019 sull’art. 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita.

Nel contesto più generale dell’art. 25 GDPR è prescritto in capo all’organizzazione l’obbligo di tenere in considerazione il progresso tecnologico disponibile sul mercato in tutto il processo di analisi, selezione e valutazione delle misure tecniche e organizzative adottate e da adottare. E qui la disponibilità va contemperata facendo riferimento al livello di rischio nei confronti degli interessati la sostenibilità economica derivante dai costi di attuazione.

È importante chiarire che il progresso non si limita solo all’aspetto strettamente tecnologico ma comprende anche quello organizzativo, con l’avanzamento, la scoperta e la diffusione di standard, politiche, certificazioni, codici di condotta e modelli di gestione. Gli avanzamenti della tecnica, tanto in ambito compliance che security, comprendono infatti in modo inevitabile la gestione del fattore umano, a partire dalla governance fino al piano operativo. E qui gli interventi di formazione e addestramento possono giovare alla corretta comprensione e conseguente mitigazione dei nuovi rischi che emergono dall’impiego di tecnologie o processi innovativi.

In via generale, i titolari hanno la responsabilità di essere in grado innanzitutto di comprendere l’avanzamento tecnologico, così da poter efficacemente valutare opportunità e rischi delle misure già adottate o da adottare, al fine di implementarle ed aggiornarle sempre nell’ottica di garantire un’effettiva tutela ai diritti degli interessati. Coinvolgendo, se del caso, anche i responsabili coinvolti nella fornitura di servizi e tecnologie.

Tanto considerato è evidente il ruolo che assume il Data Protection Officer. Questi può (anzi: deve) intervenire fornendo consulenza e informazione a riguardo, anche mediante rilascio di pareri, nonché sorvegliare l’attuazione del processo di valutazione continua delle misure (anche da parte degli eventuali responsabili) e, se del caso, promuovere e controllare lo svolgimento delle valutazioni d’impatto.

Dal momento che lo stato dell’arte è un elemento dinamico, bisogna ricordare che anche il DPO deve a sua volta essere posto nelle condizioni di ricevere le risorse informative e formative necessarie per assolvere i propri compiti. E se così non è, dovrà essere proprio lo stesso DPO a sollecitare il rischio di violazione dell’art. 25 GDPR per effetto del venire meno del monitoraggio continuo di adeguatezza.

Note sull'Autore

Stefano Gazzella Stefano Gazzella

Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law, Data Protection Officer. Privacy Officer certificato TÜV Italia. Web: www.gdpready.it 

Prev Intelligenza Artificiale: quando si trattano dati personali il pregiudizio può rappresentare un rischio elevato
Next Colloquio di selezione del personale: istruzioni operative per il rispetto della privacy del candidato

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy