Mentre ci avviciniamo all'anniversario del Regolamento generale sulla protezione dei dati (GDPR) dell'UE, stiamo finalmente iniziando a ottenere un quadro delle responsabilità dei responsabili della protezione dei dati e dell'aspetto pratico del lavoro.
CPO Magazine ha condotto un'indagine su oltre 250 responsabili della protezione dei dati (RPD), la maggior parte dei quali lavora per alcune delle più grandi aziende del mondo nei settori della tecnologia e della finanza. Hanno parlato di come stanno rispondendo a un mondo post-GDPR, delle sfide che affrontano quando si verificano ancora enormi violazioni dei dati con deludente regolarità e di quali politiche e procedure sulla privacy stanno dando la priorità di fronte a un pubblico che è diventato più consapevole della loro diritti alla privacy dei dati . Questo ci consente di vedere come il ruolo del responsabile della protezione dei dati si è sviluppato nel primo anno del GDPR – e dove potrebbe essere diretto successivamente.
Il ruolo del responsabile della protezione dei dati ai sensi del GDPR
Un responsabile della protezione dei dati è responsabile della supervisione della strategia e dell'implementazione della protezione dei dati di un'organizzazione. Sono i funzionari che assicurano che un'organizzazione soddisfi i requisiti del GDPR. Ai sensi dell'articolo 39 del GDPR , le responsabilità di un responsabile della protezione dei dati includono:
- Formazione dei dipendenti dell'organizzazione sui requisiti di conformità al GDPR
- Condurre valutazioni e audit regolari per garantire la conformità al GDPR
- Funge da punto di contatto tra la società e l'autorità di controllo competente
- Mantenimento dei registri di tutte le attività di elaborazione dei dati condotte dalla società
- Rispondere agli interessati per informarli su come vengono utilizzati i loro dati personali e quali misure ha messo in atto l'azienda per proteggere i loro dati
- Garantire che le richieste degli interessati di vedere copie dei propri dati personali o di cancellare i propri dati personali siano soddisfatte o alle quali sia data risposta, se necessario.
Questi sono alcuni dei requisiti contenuti nel testo del GDPR. Ma il nuovo sondaggio è il primo sguardo a quali sfide devono affrontare i responsabili della protezione dei dati nell'esecuzione effettiva delle loro funzioni.
Sfide che i responsabili della protezione dei dati devono affrontare nel 2018
La scoperta più sostanziale del sondaggio è quanto sia stato difficile per i DPO incorporare le migliori pratiche di protezione dei dati nelle loro organizzazioni più grandi. Quasi uno su quattro (23 per cento) dei DPO ha affermato che la loro sfida principale era ottenere risorse sufficienti per il loro lavoro, e un ulteriore 13 per cento ha dichiarato di non avere il supporto della direzione. Nel complesso, oltre il 40 percento dei DPO afferma che la propria organizzazione non sta dando la priorità adeguata alla sicurezza dei dati.
Questi rapporti soggettivi sono nati dai budget che mostrano che quasi la metà (46 percento) delle organizzazioni intervistate ha speso meno del 5 percento del proprio budget annuale di governance, rischio e conformità in attività di protezione dei dati. Le aziende più grandi pagavano più delle aziende più piccole, ma il 48 percento delle aziende che contavano tra i 1.001 e i 5.000 dipendenti in tutto il mondo spendono meno di $ 250.000 in attività di protezione dei dati e privacy.
Forse non sorprende che, con la mancanza di budget e supporto, il 75% delle aziende avesse dipartimenti di protezione dei dati con 10 o meno dipendenti, incluso circa il 40% delle aziende con più di 5.000 dipendenti e il 23% delle aziende aveva un dipendente che lavorava sulla protezione dei dati. Il rapporto afferma che le aziende non intendevano avere un numero di dipendenti così basso, ma sono i risultati logici delle sfide di budget e organizzative.
Obiettivi dei responsabili della protezione dei dati per il 2019
Secondo i responsabili della protezione dei dati intervistati, le due priorità più popolari per il 2019 sono creare una cultura della consapevolezza della protezione dei dati e migliorare la governance delle attività di elaborazione dei dati, ognuna delle quali ha ricevuto il 26% della risposta. I DPO che hanno affermato che la loro priorità nella costruzione di una maggiore consapevolezza sulla protezione dei dati sono stati divisi in modo quasi uniforme nel modo in cui avrebbero creato la consapevolezza: il 35% ha dichiarato che avrebbe condotto campagne di sensibilizzazione, il 35% ha dichiarato di istituire sessioni formali di formazione dei dipendenti e il 31% ha dichiarato aggiornerebbero regolarmente i dirigenti con un approccio dall'alto verso il basso. Per i responsabili della protezione dei dati che erano maggiormente preoccupati di migliorare la governance delle attività di elaborazione dei dati, i due processi su cui si sono concentrati maggiormente rispondevano alle richieste dell'interessato (31 percento) e alla gestione del consenso (29 percento).
La priorità scelta dall'RPD dipendeva anche da quanto tempo lavoravano e da quanto tempo era maturato il programma di protezione dei dati nella loro organizzazione. Secondo il sondaggio, la prima priorità di un DPO è generalmente quella di creare consapevolezza sulla protezione dei dati tra il personale dell'azienda. Man mano che il programma di protezione dei dati matura e l'organizzazione, nel suo insieme, applica in modo più coerente le migliori pratiche di protezione dei dati, il responsabile della protezione dei dati può passare a stabilire le priorità della governance avanzata dei processi dei dati e quindi a distribuire nuove tecnologie e modelli di business per migliorare l'elaborazione dei dati conforme al GDPR attività.
Lezioni per le imprese
Il primo risultato da questo rapporto è che la protezione dei dati è ancora agli inizi nella maggior parte delle grandi aziende. I team di protezione dei dati sono a corto di personale e sottofinanziati e, a un anno di distanza dal GDPR, sembra che le loro priorità riflettano le aziende che stanno appena iniziando a cimentarsi con la conformità al GDPR.
Ciò suggerisce anche che le aziende non hanno dato la priorità ai loro programmi di protezione dei dati. Ciò può riflettere il numero di multe del GDPR finora valutate. Qualcosa da tenere d'occhio sarà se il finanziamento delle attività di protezione dei dati aumenta come fanno le multe GDPR.
Una cosa che abbiamo visto è che i responsabili della protezione dei dati rimangono molto richiesti , secondo il cantiere. Il numero di post per posizioni orientate alla privacy è aumentato nell'ultimo anno. Quindi sembra probabile che il numero di aziende con solidi dipartimenti sulla privacy aumenterà probabilmente nei prossimi anni.
Se la tua azienda è ancora alle prese con domande sulla conformità al GDPR, le risorse su questo sito Web possono aiutarti. La nostra lista di controllo della conformità al GDPR è un buon punto di partenza. Puoi anche cercare il testo completo del GDPR per trovare risposte a domande specifiche.