Chi deve ricoprire il ruolo di DPO?

Quindi, chi dovrebbe essere il DPO? Ok, avete deciso che avete bisogno di un responsabile della protezione dei dati per Conformità al GDPRÈ fantastico, ma chi dovrebbe essere?

SCARICA LA DESCRIZIONE DELLE MANSIONI DEL DPO

Beh, in apparenza, scegliere un DPO può sembrare un problema difficilema in realtà non lo è. Il DPO deve essere una persona nominata e spetta a voi scegliere se si tratta di un a tempo pieno o parziale nel ruolo. Tutto ciò dipende in larga misura dal carico di lavoro. Il miglior punto di partenza è esaminare i ruoli esistenti ed è molto probabile che abbiate già un DPO da qualche parte nell'organizzazione o almeno che abbiate designato in modo informale qualcuno che si occupi di verificare che questa base non sia già coperta. Il passo successivo consiste nell'escludere il personale operativo e di sicurezza. Lei a un chiaro conflitto di interessi.

Scegliere il DPO giusto

La scelta di un responsabile della protezione dei dati può sembrare

Il GDPR afferma che il DPO non deve trovarsi in conflitto con il fatto di avere un gioiello ruolo di governo della protezione dei dati definendo al contempo le modalità di gestione dei dati. Non si può essere contemporaneamente bracconieri e guardiacaccia.

Nel mondo reale, questo significa che una Responsabile IT e direttore IT, a CTO o CIOÈ altamente improbabile che un responsabile della sicurezza sia anche un DPO. Inoltre, è possibile che vi siano altre posizioni che rappresentano un conflitto di interessi, come ad esempio un responsabile marketing.

Quindi, il Ruolo di responsabile della protezione dei dati si tratta fondamentalmente di governance e conformità. A sua volta, il DPO è naturalmente collegato ai team di governance legale e di sicurezza. Le organizzazioni più grandi avranno un avvocato interno che potrebbe essere un DPO. Potrebbero anche avere un separazione della sicurezza informatica operativa e team di governance della sicurezza. Pertanto, questa separazione di solito comporta che la funzione di governance sia al di fuori di essa, eliminando il conflitto di interessi per un DPO. A responsabile della sicurezza informatica o un CISO significa molte cose per molte persone e potrebbe trovarsi sia all'interno che all'esterno di esso. Quindi, non date per scontato che questa posizione possa automaticamente ricoprire il ruolo di DPO senza conflitti.

Sapendo che il DPO deve essere un tipo di governance ruolo è una cosa, ma è necessario assicurarsi che siano riconosciuti anche come consulente a livello di consiglio di amministrazione. Il DPO è un ruolo protetto in quanto non si può licenziare un DPO se fa il suo lavoro troppo bene, come ad esempio informare l'autorità di regolamentazione di una violazione. Il DPO deve essere riconosciuto come un vero e proprio ruolo di alto livello all'interno dell'organizzazione e ben rispettata da tutti.

Il vostro DPO è fondamentale per la successo della vostra conformità al GDPR. Deve comprendere l'azienda, il trattamento dei dati e le modalità di interazione con la clientela e con le autorità di regolamentazione. Il DPO deve comprendere a fondo la sicurezza dei dati e deve essere aggiornato sulle ultime minacce all'azienda e ai dati che protegge. Pertanto, una considerazione da non sottovalutare è se si tratta di un ruolo gioiello.

La DPO è davvero una mossa saggia. Per il DPO si vogliono i migliori talenti e, per le organizzazioni più grandi, si ratifica un dipendente esistente di alto livello che abbia anche una grande capacità speculativa per assumere il ruolo ai sensi del GDPR.

Il DPO è un ruolo non da pocosoprattutto nella fase di preparazione per ottenere la conformità. Tuttavia, molte piccole e medie imprese sono adatte al ruolo di DPO. Il DPO, ne conosco uno personalmente con il consulente legale, viene utilizzato dal responsabile della compliance e dal direttore finanziario.

Non c'è una risposta magica e non c'è una taglia unica per tutti, ma siate pronti per il vostro gioiello. I DPO sentono la pressione di entrambi i lati del loro lavoro per quanto riguarda il tempo e l'attenzione.

Una domanda comune è: in quale team collocare un responsabile della protezione dei dati a tempo pieno?

Dovrebbero riferire all'ufficio legale, all'amministratore delegato o al dipartimento rischi? Non ha molta importanza chi sia il loro manager di riferimento o quali siano le linee tratteggiate, purché non si trovino in conflitto con la loro linea di reporting e non siano liberamente in grado di riferire al consiglio di amministrazione.

Infine, considerate la possibilità di nominare un consulente esterno dedicato al DPO. Sarà nominato come DPO e dove si trova il vostro cappello aziendale. Quindi, questo tipo di contratto di servizio può essere un'ottima scelta quando è necessario un DPO, ma nessun dipendente attuale può assumere il ruolo e l'assunzione di qualcuno sarebbe eccessiva. Alcune organizzazioni hanno bisogno solo di due o tre giorni di DPO al mese.

Nella mia azienda, Cognition, forniamo questi servizi virtuali di DPO e abbiamo un certo numero di clienti dove ci troviamo. Il nome DPO, il DPO virtuale, può essere in realtà un team di persone. Ognuno di loro fornisce la propria specialità per creare un insieme più grande e, con questo approccio, una persona specifica viene nominata leader della funzione DPO.

SCARICA LA DESCRIZIONE DELLE MANSIONI DEL DPO