Da quanto rilevato in un sondaggio condotto recentemente da Federprivacy, la maggior parte dei DPO esprime preoccupazione per la gestione delle situazioni di emergenza e in particolare per le minacce ransomware.
L’ambito più ampio in cui tali evenienze si inseriscono è la sicurezza dei trattamenti, in rapporto al quale dunque è fondamentale comprendere qual è il ruolo svolto dal Data Protection Officer in modo tale che l’organizzazione non incorra in false o inesatte aspettative nei confronti di tale figura, circostanza che spesso dà luogo non solo a incomprensioni ma è causa di violazione diretta di alcune prescrizioni del GDPR.
Esempi più comuni in tal senso sono quelle situazioni in cui il DPO opera in conflitto d’interessi o altrimenti non viene coinvolto, la mancata sorveglianza delle misure di sicurezza o l’inadeguatezza delle valutazioni dei rischi.
Nella fase di analisi e predisposizione delle misure di sicurezza è bene ricordare che lo svolgimento dei compiti di consulenza, informazione e successiva sorveglianza può essere svolto soltanto se c’è un coinvolgimento sin dalle fasi iniziali.
Rendere il DPO partecipe nella pianificazione della sicurezza assicura che l’indicazione di correttivi, approfondimenti da svolgere o spunti di miglioramento avvengano già nella fase di valutazione dei rischi e di progettazione.
Garantire l'indipendenza della valutazione
La selezione di tecnologie e l’adozione di soluzioni organizzative potrebbe incontrare delle criticità – e dunque un parere negativo – durante la fase di implementazione con un aumento dei costi a carico dell’organizzazione. È sufficiente considerare come esempio l’ipotesi in cui vengano adottati e impiegati sistemi di tracciamento dell’attività dei lavoratori non conformi con le prescrizioni in materia giuslavoristica e di protezione dei dati personali, per cui nei casi più gravi occorre rinunciare alla misura o altrimenti inserire dei correttivi in corso d’opera con spesa di tempo e risorse.
Una volta espresse le proprie indicazioni e pareri sulle misure predisposte, è compito specifico del DPO sorvegliare che le stesse siano rispettate facendo ricorso anche a esperti tecnici esterni per svolgere le attività di audit in modo tale da garantire l’indipendenza della valutazione.
Relazionandosi con il personale interno preposto al monitoraggio della sicurezza è buona prassi che il DPO richieda comunque dei report periodici e operi come raccordo con i vertici dell’organizzazione per rappresentare rilievi su criticità, fabbisogni e opportunità derivanti dai rilievi interni svolti. Cadenza, ampiezza e profondità dei controlli devono seguire l’approccio basato sul rischio indicato dall’art. 39.2 GDPR.
Nell’ipotesi specifica di occorrenza di un data breach, è richiesto il coinvolgimento (e dunque: l’intervento) del DPO almeno in tre passaggi fondamentali:
- valutazione dell’evento e registrazione interna;
- notifica all’autorità di controllo, comunicazione agli interessati;
- misure di contenimento e mitigazione predisposte a garanzia della loro conformità alle prescrizioni normative.
(Articolo di Stefano Gazzella - Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law, Data Protection Officer. Privacy Officer certificato TÜV Italia)
maggiori informazioni su:
www.federprivacy.org
Corso Specialistico Videosorveglianza e Privacy: approccio pratico tra normativa, impatto privacy, intelligenza artificiale e cybersecurity
Due giornate, sede Allnet.Italia, Bologna
Smart City e Videosorveglianza Urbana integrata: un bene pubblico da preservare tra intelligenza artificiale, videosorveglianza, digitalizzazione, privacy e sicurezza informatica
Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia
Webinar23 aprile 2024
Webinar6 maggio 2024
Webinar14 maggio 2024
Webinar21 maggio 2024
WebinarLa cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia