giovedì, 3 ottobre 2024

W la Privacy

W la Privacy

Le strategie di sicurezza richiedono sinergie e proattività fra DPO e funzioni IT

Le strategie di sicurezza richiedono sinergie e proattività fra DPO e funzioni IT
19/12/2023

Come deve agire il DPO nelle strategie di sicurezza, tenendo conto delle ulteriori funzioni che inevitabilmente sono coinvolte nella stessa? Di certo non può chiedersi a un professionista, o a un ufficio, che agisca come one-man band ed estenda (o spesso, improvvisi) il proprio campo d’azione a tematiche così complesse come la sicurezza delle informazioni ed attendersi che tale azione possa essere efficace.

E' bene ricordare che la natura del profilo del DPO è eminentemente legale, ma questo già lo dice chiaramente la norma. Ben venga poi se ha competenze tecniche, ma queste devono essere funzionali all’attività di advisoring in quanto non può entrare nelle decisioni operative.

Ne emergerebbe altrimenti un quasi certo conflitto d’interessi e una conseguente inidoneità a svolgere tale ruolo. Attenzione però ad evitare l’errore di identificare il DPO automaticamente con il profilo un avvocato, altrimenti si potrebbe ricadere nel medesimo conflitto d ’interessi qualora il legale rappresenti in giudizio l’organizzazione designante (ad es. nei confronti degli interessati, o del Garante Privacy). Ciò che più si avvicina al DPO, molto probabilmente, è il profilo di un auditor con competenze specifiche in ambito di normativa e prassi in materia di protezione dei dati personali. E poiché tale figura si avvale emblematicamente di esperti tecnici per la conduzione delle attività di controllo, ciò può valere come spunto anche per la funzione di DPO.

Un'azione sinergica  

Considerato ciò, è evidente che l’azione sinergica del DPO con le funzioni IT (CED, sysadmin) dell’organizzazione non sia solo strumentale a colmare il gap di competenze, ma comporta un impatto diretto e significativo sulla capacità di svolgimento dei compiti indicati dall’art. 39 GDPR stesso. Il rispetto di alcune disposizioni specifiche del GDPR, principalmente nelle declinazioni operative della sicurezza, non può prescindere da reciproco coinvolgimento e contaminazione. Anche nella gestione fornitori e i controlli di supply chain, la gestione interna degli operatori con tutti i presidi tecnici e organizzativi, o anche la governance e l’analisi dei rischi è richiesto che una funzione di garanzia e sorveglianza quale quella del DPO sappia quando e come avvalersi della collaborazione di altre funzioni ed esperti.

Se l’organizzazione, in ragione di accountability, deve promuovere questo tipo di integrazioni e sinergie allocando le risorse necessarie e garantendo la posizione e il coinvolgimento del DPO, certamente anche quest’ultimo deve dimostrarsi in grado svolgere il proprio ruolo avvalendosi di soft skill quali ad esempio capacità comunicative, gestione dei conflitti e problem solving. Non solo. Deve agire in modo proattivo in concerto e reciprocità con i propri interlocutori, altrimenti limitarsi ad un ruolo di mera reazione porta con sé il germe dell’incompletezza e tutti gli inevitabili rischi. Che nella sicurezza comportano vulnerabilità e conseguenze ben negative nei confronti prima degli interessati dunque dell’organizzazione.

Articolo di Stefano Gazzella, Delegato Federprivacy per la provincia di Gorizia, consulente Privacy & ICT Law, Data Protection Officer, Privacy Officer certificato TÜV Italia (è stato uno dei relatori al Cyber & Privacy Forum 2023)


maggiori informazioni su:
www.fedeprivacy.org



Tutte le news