giovedì, 1 dicembre 2022

W la Privacy

W la Privacy

Il coinvolgimento del DPO nella gestione della sicurezza dei trattamenti di dati personali

11/10/2022

Da quanto rilevato in un sondaggio condotto recentemente da Federprivacy, la maggior parte dei DPO esprime preoccupazione per la gestione delle situazioni di emergenza e in particolare per le minacce ransomware.

L’ambito più ampio in cui tali evenienze si inseriscono è la sicurezza dei trattamenti, in rapporto al quale dunque è fondamentale comprendere qual è il ruolo svolto dal Data Protection Officer in modo tale che l’organizzazione non incorra in false o inesatte aspettative nei confronti di tale figura, circostanza che spesso dà luogo non solo a incomprensioni ma è causa di violazione diretta di alcune prescrizioni del GDPR.

Esempi più comuni in tal senso sono quelle situazioni in cui il DPO opera in conflitto d’interessi o altrimenti non viene coinvolto, la mancata sorveglianza delle misure di sicurezza o l’inadeguatezza delle valutazioni dei rischi.

Nella fase di analisi e predisposizione delle misure di sicurezza è bene ricordare che lo svolgimento dei compiti di consulenza, informazione e successiva sorveglianza può essere svolto soltanto se c’è un coinvolgimento sin dalle fasi iniziali. 

Rendere il DPO partecipe nella pianificazione della sicurezza assicura che l’indicazione di correttivi, approfondimenti da svolgere o spunti di miglioramento avvengano già nella fase di valutazione dei rischi e di progettazione.

Garantire l'indipendenza della valutazione  

La selezione di tecnologie e l’adozione di soluzioni organizzative potrebbe incontrare delle criticità – e dunque un parere negativo – durante la fase di implementazione con un aumento dei costi a carico dell’organizzazione. È sufficiente considerare come esempio l’ipotesi in cui vengano adottati e impiegati sistemi di tracciamento dell’attività dei lavoratori non conformi con le prescrizioni in materia giuslavoristica e di protezione dei dati personali, per cui nei casi più gravi occorre rinunciare alla misura o altrimenti inserire dei correttivi in corso d’opera con spesa di tempo e risorse.

Una volta espresse le proprie indicazioni e pareri sulle misure predisposte, è compito specifico del DPO sorvegliare che le stesse siano rispettate facendo ricorso anche a esperti tecnici esterni per svolgere le attività di audit in modo tale da garantire l’indipendenza della valutazione.

Relazionandosi con il personale interno preposto al monitoraggio della sicurezza è buona prassi che il DPO richieda comunque dei report periodici e operi come raccordo con i vertici dell’organizzazione per rappresentare rilievi su criticità, fabbisogni e opportunità derivanti dai rilievi interni svolti. Cadenza, ampiezza e profondità dei controlli devono seguire l’approccio basato sul rischio indicato dall’art. 39.2 GDPR.

Nell’ipotesi specifica di occorrenza di un data breach, è richiesto il coinvolgimento (e dunque: l’intervento) del DPO almeno in tre passaggi fondamentali:

- valutazione dell’evento e registrazione interna;

- notifica all’autorità di controllo, comunicazione agli interessati;

- misure di contenimento e mitigazione predisposte a garanzia della loro conformità alle prescrizioni normative.

(Articolo di Stefano Gazzella - Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law, Data Protection Officer. Privacy Officer certificato TÜV Italia)


maggiori informazioni su:
www.federprivacy.org



Tutte le news

Calendario Corsi 2023

Ethos Academy propone corsi di formazione sui temi della sicurezza, che sono anche propedeutici alla certificazione e validi per il mantenimento.
Il calendario 2023 è in allestimento

Scopri la programmazione »