Il coinvolgimento del DPO nella gestione della sicurezza dei trattamenti di dati personali

Da quanto rilevato in un sondaggio condotto recentemente da Federprivacy, la maggior parte dei DPO esprime preoccupazione per la gestione delle situazioni di emergenza e in particolare per le minacce ransomware.

L’ambito più ampio in cui tali evenienze si inseriscono è la sicurezza dei trattamenti, in rapporto al quale dunque è fondamentale comprendere qual è il ruolo svolto dal Data Protection Officer in modo tale che l’organizzazione non incorra in false o inesatte aspettative nei confronti di tale figura, circostanza che spesso dà luogo non solo a incomprensioni ma è causa di violazione diretta di alcune prescrizioni del GDPR.

Esempi più comuni in tal senso sono quelle situazioni in cui il DPO opera in conflitto d’interessi o altrimenti non viene coinvolto, la mancata sorveglianza delle misure di sicurezza o l’inadeguatezza delle valutazioni dei rischi.

Nella fase di analisi e predisposizione delle misure di sicurezza è bene ricordare che lo svolgimento dei compiti di consulenza, informazione e successiva sorveglianza può essere svolto soltanto se c’è un coinvolgimento sin dalle fasi iniziali. 

Rendere il DPO partecipe nella pianificazione della sicurezza assicura che l’indicazione di correttivi, approfondimenti da svolgere o spunti di miglioramento avvengano già nella fase di valutazione dei rischi e di progettazione.

Garantire l'indipendenza della valutazione  

La selezione di tecnologie e l’adozione di soluzioni organizzative potrebbe incontrare delle criticità – e dunque un parere negativo – durante la fase di implementazione con un aumento dei costi a carico dell’organizzazione. È sufficiente considerare come esempio l’ipotesi in cui vengano adottati e impiegati sistemi di tracciamento dell’attività dei lavoratori non conformi con le prescrizioni in materia giuslavoristica e di protezione dei dati personali, per cui nei casi più gravi occorre rinunciare alla misura o altrimenti inserire dei correttivi in corso d’opera con spesa di tempo e risorse.

Una volta espresse le proprie indicazioni e pareri sulle misure predisposte, è compito specifico del DPO sorvegliare che le stesse siano rispettate facendo ricorso anche a esperti tecnici esterni per svolgere le attività di audit in modo tale da garantire l’indipendenza della valutazione.

Relazionandosi con il personale interno preposto al monitoraggio della sicurezza è buona prassi che il DPO richieda comunque dei report periodici e operi come raccordo con i vertici dell’organizzazione per rappresentare rilievi su criticità, fabbisogni e opportunità derivanti dai rilievi interni svolti. Cadenza, ampiezza e profondità dei controlli devono seguire l’approccio basato sul rischio indicato dall’art. 39.2 GDPR.

Nell’ipotesi specifica di occorrenza di un data breach, è richiesto il coinvolgimento (e dunque: l’intervento) del DPO almeno in tre passaggi fondamentali:

- valutazione dell’evento e registrazione interna;

- notifica all’autorità di controllo, comunicazione agli interessati;

- misure di contenimento e mitigazione predisposte a garanzia della loro conformità alle prescrizioni normative.

(Articolo di Stefano Gazzella - Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law, Data Protection Officer. Privacy Officer certificato TÜV Italia)