Stefano Gazzella : 1 Agosto 2022 07:00
Autore: Stefano Gazzella
Matteo Colombo, presidente di AssoDPO, con esperienza come DPO, consulenza in ambito di compliance, risk management e data protection, si è reso disponibile per un’intervista al fine di commentare rischi e opportunità riguardanti la previsione di istituire un albo dedicato alla figura dei Responsabili della protezione dei dati.
Andiamo dritti al punto: come vede l’idea di un “albo dei DPO”?
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Vedo necessariamente due temi da affrontare: se creare un albo di chi è già stato designato DPO o se altrimenti istituire un albo professionale della figura del DPO.
Nel primo caso altro non è che rendere accessibile le comunicazioni all’autorità Garante, e può essere un utile elemento di trasparenza delle designazioni consentendo così a chiunque di poter sapere chi sia il DPO di riferimento per singoli titolari o responsabili del trattamento. Sono certo che questo possa aiutare il settore ad evolversi in maniera molto differente rispetto a quanto abbiamo visto fino ad oggi. In una serie di interventi pubblici, infatti, il Garante Privacy ha più volte segnalato la presenza di “cacciatori di taglie”, ovverosia soggetti con centinaia di incarichi soprattutto in ambito pubblico. Certo, il tema andrebbe affrontato in sede di EDPB o in una futura revision del GDPR che, dal punto di vista tecnico, non escludo possa interessare già il prossimo Parlamento europeo, a beneficio della trasparenza delle designazioni.
Per quanto riguarda il secondo caso, ovverosia la costituzione di un elenco di soggetti “qualificati” può essere uno spunto per guardare alle skills richieste per la figura professionale di DPO come ad esempio ha fatto CNIL. Oggi, nei bandi, sono chieste delle attività da svolgere ma non vengono stabiliti parametri di efficacia, controllo e le selezioni sono dominate dal criterio dell’offerta economicamente più vantaggiosa. L’indicazione di una serie di skills fondamentali da parte dell’Authority non può che migliorare i processi di selezione.
A proposito di selezioni: qual è stato il compenso più basso che ha visto in una offerta di servizi di DPO?
Potrebbe sorprendere, ma ho avuto modo di vedere qualcosa che va oltre i famigerati 500 euro l’anno ovverosia dei DPO “gratis”, integrati in un pacchetto di servizi già acquistato. Molto spesso in situazioni di conflitto di interessi.
Quali sono le maggiori resistenze da superare riguardanti la figura del DPO?
La maggiore resistenza è accettare che la funzione agisca in affiancamento all’organizzazione. Il ruolo del DPO nasce per dare un valore aggiunto, ed è il soggetto che governa e supervisiona tutte le regole che l’organizzazione si è data per la compliance GDPR.
La figura può essere assimilata con il ruolo di RSPP, ma spesso viene considerata in modo astratto. Altrimenti, una carenza di effettività della funzione è la conseguenza logica.
Una delle cose più difficili da capire è che il DPO debba entrare da subito nelle scelte dell’organizzazione e dunque la necessità del suo coinvolgimento sin dall’inizio in un’ottica di privacy by design e con approfondimenti nel merito delle decisioni sin dalla fase embrionale della pianificazione.
Come superarle?
L’unico modo che vedo per scardinare questa resistenza è una integrazione della privacy all’interno dei processi dell’organizzazione, stabilendolo come parametro di valutazione dello “stato di salute” della stessa. Ad esempio, nei processi di M&A la correttezza del trattamento dei dati personali è riconducibile al rischio di contenzioso.
Dobbiamo accettare che viviamo in una realtà in cui i dati personali hanno un valore significativo e dunque occorre un controllo della regolarità dell’acquisizione degli stessi.
Esistono o sono auspicabili regole deontologiche comuni per i DPO?
Certamente. AssoDPO ha ad esempio adottato un codice etico per i propri associati e così anche altre associazioni. Ritengo che siano proprio le associazioni a dover promuovere regole e valori comuni per i propri associati e stabilire linee di condotta condivise.
Possiamo avere alcuni esempi?
La correttezza della gestione contrattuale. È necessario dichiarare sin dalla fase di contrattazione cosa il DPO potrà e dovrà fare e cosa invece non potrà fare, assicurando così che il titolare o il responsabile abbia da subito cognizione del ruolo operativo della funzione.
Alcune garanzie ulteriori, come avere un’assicurazione professionale o garantire la propria formazione continua, sono altrettanto importanti. Nel modo di comportarsi, invece, trovo particolarmente di rilievo assicurare una non discriminazione soprattutto un’integrità nello svolgimento dei propri compiti.
Cosa consiglia a chi deve o vuole provvedere alla nomina del DPO per non incorrere in gravi errori, a parte rivolgersi a chi presenta una contrattualizzazione chiara del rapporto?
Valutare la competenza specifica. In Spagna hanno addirittura costituito delle specializzazioni di settore per i DPO, e potremmo ispirarci anche a questo modello e non solo alle skill indicate da CNIL.
Ovviamente gli schemi di certificazioni così come i corsi pur non essendo abilitanti possono costituire delle evidenze valide per assolvere i criteri di selezione.
Cosa servirebbe ai DPO da parte dell’autorità di controllo?
Certamente, un Ufficio DPO presso l’Autorità Garante come accade in Francia. Avere un canale di comunicazione e possibilmente anche un funzionario dedicato può consentire di risolvere alcune problematiche in modalità autonoma e più celere rispetto al dover transitare per l’URP. Ad esempio, in caso di data breach o di valutazione d’impatto o consultazione preventiva.
Un suggerimento per i DPO in cerca di incarichi.
Studiare. Quello sempre: non si finisce mai.
Uno degli aspetti più importanti ora è approfondire il diritto comparato. In Europa pochissimi si sono specializzati in privacy comparata, eppure non è più sufficiente conoscere solamente il GDPR per svolgere il ruolo di DPO nel settore privato. Ovviamente, anche la lingua inglese è fondamentale per maturare esperienze internazionali.
Dopodiché fare rete. Coltivare contatti, formare dei team DPO per uno scambio continuo e la valorizzazione e contaminazione reciproca di esperienze che sono destinate ad essere sempre più specializzate.
Stefano GazzellaI ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
Il primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
Il CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networki...
OpenAI ha presentato Aardvark, un assistente autonomo basato sul modello GPT-5 , progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Questo strumento di inte...
