Nuove tecnologie + nuovi rischi = nuove abilità per il DPO

di Stefano Gazzella - Privacy Officer, Data Protection Officer, Responsabile Comitato Scientifico Assoinfluencer

Il DPO deve essere un punto di riferimento per le organizzazioni nell’affrontare le variazioni di contesto che i cambiamenti tecnologici e normativi impongono, introducendo non solo nuovi mezzi, ma anche nuovi trattamenti e rischi, tanto sotto l’aspetto della data security che della data protection.

Bob Dylan, in “The Times They Are a-Changin”, cantava dell’inevitabilità del progresso e dell’importanza di adattarsi ai nuovi tempi. Oggi, nei contesti tecnologici il messaggio è quanto mai attuale. Soprattutto per professionisti che coprono settori trasversali quali quello della data protection e della data security, entrambi ambiti di operatività propri della funzione del DPO.

I domini del DPO 

Tanto l’avanzamento tecnologico quanto l’evoluzione nell’interpretazione della normativa sono infatti degli elementi di contesto di cui è necessario avere contezza per essere in grado di agire di conseguenza. Conoscerli ed analizzarli in modo completo e corretto comporta così un indiscusso vantaggio per organizzazioni e professionisti, che sono chiamati ad azioni non soltanto reattive ma anche proattive. La premessa fondamentale per il DPO è di conseguenza quella di coltivare un proprio aggiornamento continuo a riguardo, senza esondare in campi che eccedono le proprie competenze e nel rispetto delle competenze e professionalità altrui. Piuttosto, va favorita la verticalizzazione nella materia della protezione dei dati personali e una generale consapevolezza del mondo che cambia. Anzi: dei multiversi che cambiando offrono nuovi scenari, talvolta del tutto inattesi.Per fare un esempio emblematico: è sufficiente pensare alla rapida evoluzione dei LLM che oggi ha portato alla disponibilità di nuovi strumenti per le organizzazioni come gli agenti AI. Questo ha avuto l’effetto di far emergere, di conseguenza, anche delle esigenze di regolamentazione, dubbi applicativi di norme cogenti, nonché la ricerca di nuovi standard.

Nuove tecnologie, nuovi trattamenti

Nella protezione dei dati personali, l’avanzamento della frontiera tecnologica ha comportato e comporterà sempre nuovi trattamenti, dal momento che le organizzazioni non si sono limitate soltanto ad impiegare o variare i mezzi. Basti pensare a scraping, scoring o processi dell’industry 5.0 per avere un’idea a riguardo.

Ogni innovazione comporta una variazione degli scenari di rischio poiché, nel momento in cui è distribuita e disponibile, va a ridefinire lo stato dell’arte, che è uno dei criteri da considerare all’interno dell’analisi dei rischi. Questo è un elemento di carattere generale che riguarda tutte le organizzazioni, dal momento che gli attuali progressi compiuti dalla tecnologia disponibile sul mercato devono essere presi in considerazione per individuare e valutare le minacce e le misure di mitigazione che di conseguenza si sono adottate o si intendono adottare a riguardo. Quanti invece decidono di svolgere nuove attività di trattamento o altrimenti di avvalersi di nuovi mezzi, devono considerare l’effetto specifico che ne deriva in quanto introducono non solo vulnerabilità e rischi, ma anche opportunità e misure tecniche.

L’analisi dei rischi è dinamica

L’analisi dei rischi è un processo da svolgere continuamente e che deve essere caratterizzato per la propria attualità in modo tale da consentire l’adozione di misure necessarie a protezione dei dati. In questo ambito il DPO è chiamato a svolgere la propria attività di consulenza ma anche e soprattutto di sorveglianza dovendo sollecitare, se del caso, un riesame, o altrimenti ridiscutere valutazioni di metodo o di merito sulle decisioni in ordine a finalità e mezzi di trattamento. L’ipotesi più comunemente ricorrente sarà la segnalazione dell’obbligo o dell’opportunità di effettuare una valutazione d’impatto sulla protezione dei dati. O attivarsi per una consultazione preventiva.

E la gestione dei costi?

La gestione dei costi, siano essi di implementazione o di controllo dei trattamenti e delle misure adottate, è un ulteriore elemento da non sottovalutare e su cui il DPO deve rivolgere la propria attenzione. È fondamentale che sia chiaro per l’organizzazione che il costo non è né può essere un argomento per abbassare il livello di protezione dei dati bensì un fattore di cui tenere conto nella selezione tra più alternative di trattamenti e misure.

Data maturity, DPO maturity

Nei tempi che cambiano, il DPO si conferma essere uno dei presidi fondamentali per la data maturity dell’organizzazione, dal momento che contribuisce ad innalzare il livello interno di consapevolezza e competenza in relazione agli aspetti collegati agli avanzamenti della frontiera tecnologica. Questo comporta però che lo stesso professionista debba per primo mantenersi continuamente aggiornato o comunque essere in grado di svolgere i propri compiti, segnalando in caso l’esigenza di risorse da allocare, che possono prevedere in alcuni casi anche il coinvolgimento di altre professionalità.

La formazione permanente è una delle risorse che l’organizzazione è chiamata a garantire alla funzione (art. 38 par. 2 GDPR, come chiarito dalle linee guida WP243 sui Responsabili della Protezione dei Dati); pertanto, deve essere in grado di riscontrare eventuali richieste e segnalazioni a riguardo nonché monitorare che le competenze del DPO siano adeguate ai trattamenti svolti.