Data protection officer, la nuova figura introdotta dal GDPR

how-esomar-can-help-with-your-data-protection-officer-2-picc--Copia.jpg

Il nuovo regolamento generale sulla protezione dei dati (General Data Protection Regulation - GDPR)

è entrato in vigore lo scorso 25 maggio, con importanti modifiche al modo in cui i dati vengono archiviati e trattati.
Per le aziende farmaceutiche, che sono già conformi alle leggi sulla protezione dei dati attualmente in vigore, è lecito aspettarsi che le modifiche necessarie per allinearsi al GDPR siano minime; tuttavia sarà necessario adeguarsi per chi ha cattive pratiche di gestione dei dati.
Tra le novità introdotte troviamo la figura del Data Protection Officer (DPO) o responsabile della gestione dei dati, figura preposta alla gestione del trattamento e alla protezione dei dati personali all'interno di un'azienda. In realtà questo ruolo era già presente da anni in molte legislazioni europee, ad esempio negli ordinamenti anglosassoni come Chief Privacy Officer (CPO), Privacy Officer e Data Security Officer.
Il DPO deve assolvere essenzialmente a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del regolamento europeo sulla privacy. La prima competenza che deve possedere è quindi la conoscenza approfondita della normativa sulla gestione dei dati personali (legge sulla privacy) europea e del paese in cui opera.
Il suo ruolo principale è di vigilanza sul trattamento dei dati allo scopo di far rispettare tali normative; inoltre coopera con il Garante della Privacy fungendo da interfaccia con esso per tutte le questioni connesse. Appare chiaro che il soggetto debba possedere specifiche competenze in campo informatico e giuridico, unite alla conoscenza in ambito produttivo e dei processi della specifica azienda per cui lavora. Il DPO è tenuto a informare il titolare relativamente agli obblighi di legge scaturenti dal regolamento in materia di dati personali, collaborare nelle decisioni e fornire pareri circa la valutazione dell'impatto sulla protezione dei dati ed inoltre deve effettuare attività di formazione per il personale dell'azienda.
Il DPO può essere un dipendente oppure un soggetto terzo esterno all’azienda (in questo caso può essere anche una persona giuridica); per le aziende più piccole può coincidere con l'amministratore delegato o il direttore operativo. Tuttavia sarebbe opportuno evitare possibili conflitti di interesse, escludendo oltre ai suddetti ruoli, ad esempio, i membri del consiglio di amministrazione, personale della direzione risorse umane, della direzione marketing, della direzione finanziaria e di quella dell’information technology (IT). Al DPO non sono richieste specifiche attestazioni formali, particolari titoli di studio e abilitazioni o l'iscrizione in appositi albi.
Per quanto riguarda il personale, il più grande rischio di protezione dei dati per le aziende farmaceutiche è rappresentato dai rappresentanti di vendita che scelgono le proprie liste di clienti dai database. Limitare l'accesso al database è quindi un fattore chiave per ridurre al minimo le violazioni sulla privacy. Per contrastare questo alcune aziende stanno persino scrivendo regole sull'uso del database nei contratti di lavoro.

Tags: pharma biotech nutraceutica medical device cosmetica talent management clinica

Potresti essere interessato anche ai seguenti corsi

m-Squared consulting
Il blog delle consulenze aziendali
m-Squared Academy
La scuola di formazione per i professionisti del Life Science
Follow us

@ 2017-2018 m-Squared consulting srl | Credits

Utilizziamo i cookie, anche di terze parti, per assicurarti la migliore esperienza nel sito e per inviarti messaggi promozionali personalizzati. Per saperne di più ed, accedi a Informativa privacy e Cookie policy. Se prosegui nella navigazione acconsenti all’utilizzo dei cookie e al trattamento dei dati secondo quanto indicato nella informativa. Leggi il documento