L’azione del DPO nei controlli della supply chain

di Stefano Gazzella - Privacy Officer, Data Protection Officer, Responsabile Comitato Scientifico Assoinfluencer 

Nello svolgimento dei propri compiti, il Data Protection Officer interviene anche nei confronti della supply chain e può estendere il proprio campo d’azione oltre le sole attività di trattamento di dati personali, soprattutto nel caso dei settori interessati dalla NIS 2 e dal perimetro di sicurezza nazionale cibernetica.

La verifica della filiera dei fornitori è un adempimento già richiesto dal GDPR, richiamato espressamente dall’art. 28 par. 1 in forza del quale «Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.». La natura di tale obbligo è permanente, pertanto l’adempimento deve essere garantito per l’intera durata del trattamento e deve essere rendicontabile, in ossequio al principio di accountability. Questo rientra nel campo d’azione del DPO, sia nello svolgimento dei compiti di advisoring che di sorveglianza, a partire dalla fase di selezione iniziale e successivamente in quella di monitoraggio.

Cosa cambia con la NIS2

Nei settori interessati dalla NIS 2 e dal perimetro di sicurezza nazionale cibernetica, questo adempimento, già presente nei controlli volontari della ISO 27001:2022, è esteso a tutti i soggetti che compongono la supply chain e non è limitato solo a coloro che svolgono il ruolo di responsabili del trattamento. Tuttavia, vista l’introduzione di una norma cogente e non più volontaria bisogna chiedersi se ciò comporti un’estensione dell’azione del DPO. La risposta è negativa, sebbene nel contratto di servizi o nelle mansioni assegnate sia sempre possibile attribuire ulteriori compiti e funzioni a tale figura, con l’unico limite di non dare adito a conflitti d’interesse e garantendo sempre l’adeguatezza delle risorse allocate e le priorità nello svolgimento dei compiti indicati dall’art. 39 GDPR. È importante ricordare che in questi settori il DPO non può né deve diventare un CISO, poiché svolge un ruolo fondamentalmente diverso, tutelando i diritti e le libertà fondamentali degli interessati, che riguardano anche, ma non esclusivamente, la sicurezza dei dati personali. La governance della sicurezza e le garanzie in ordine alla continuità operativa sono invece gli aspetti prioritari per i settori interessati dalla nuova normativa.

Selezione dei fornitori

Per quanto riguarda il processo di selezione dei fornitori e contrattualizzazione degli stessi, il coinvolgimento delle funzioni di Privacy Manager e DPO è un passaggio necessario per determinare non solo se e in che misura tali soggetti possono assumere il ruolo di responsabili del trattamento, ma anche le conseguenze che comporta sia una loro compromissione sulla sicurezza dei dati personali trattati dall’organizzazione sia nuovi scenari di rischio per effetto di nuove attività di trattamento svolte. Basti pensare ad esempio agli impatti sugli interessati interni, ovverosia il personale che opera sui dati e interagisce con i sistemi informatici, con l’introduzione di fornitori di sistemi SIEM o DLP.

L’indipendenza del DPO

Nella fase di progettazione iniziale va affrontato il coordinamento dei nuovi obblighi con le procedure di reporting in cui sono coinvolti i fornitori, che emblematicamente sono due: gestione dell’incidente e quei controlli di adeguatezza richiamati in premessa. Non ci si può limitare al solo timing dell’adempimento degli obblighi di notifica (24 o 72 ore) e alla capacità di adempiere in tal senso, ma è necessario gestire la sicurezza per far fronte ai nuovi scenari di rischio cyber e garantire la continuità operativa. Questo include lo svolgimento di controlli che integrino la sorveglianza dei responsabili del trattamento all’interno del sistema più esteso dei monitoraggi della supply chain, finalizzati a verifiche secondo criteri definiti e all’applicazione di correttivi. È fondamentale però garantire nell’azione di sorveglianza l’indipendenza del DPO, come previsto dall’art. 38 par. 3 GDPR, per cui bisogna fare in modo che questi «non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.». Ciò comporta la possibilità di svolgere controlli indipendenti e di propria iniziativa, ad esempio.

Questo spaccato dell’azione del DPO nei controlli di supply chain dimostra che il coordinamento e l’integrazione fra funzioni nella ricerca di sinergie è fondamentale.

La speranza è che nel tempo il paradigma della coopetition venga progressivamente abbandonato, dal momento che i suoi frutti comportano, quanto meno in ambito data compliance e data security, strategie destinate al fallimento. Infatti, negli scenari sempre più complessi di intersezione fra norme e tecnologie, la capacità di rapido adattamento da parte delle organizzazioni e l’azione proattiva costituiscono dei fattori critici di successo in relazione ai quali il DPO deve aver il ruolo di facilitatore degli adempimenti in materia di protezione di dati personali.