Stefano Gazzella : 1 Agosto 2022 07:00
Autore: Stefano Gazzella
Matteo Colombo, presidente di AssoDPO, con esperienza come DPO, consulenza in ambito di compliance, risk management e data protection, si è reso disponibile per un’intervista al fine di commentare rischi e opportunità riguardanti la previsione di istituire un albo dedicato alla figura dei Responsabili della protezione dei dati.
Andiamo dritti al punto: come vede l’idea di un “albo dei DPO”?
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Vedo necessariamente due temi da affrontare: se creare un albo di chi è già stato designato DPO o se altrimenti istituire un albo professionale della figura del DPO.
Nel primo caso altro non è che rendere accessibile le comunicazioni all’autorità Garante, e può essere un utile elemento di trasparenza delle designazioni consentendo così a chiunque di poter sapere chi sia il DPO di riferimento per singoli titolari o responsabili del trattamento. Sono certo che questo possa aiutare il settore ad evolversi in maniera molto differente rispetto a quanto abbiamo visto fino ad oggi. In una serie di interventi pubblici, infatti, il Garante Privacy ha più volte segnalato la presenza di “cacciatori di taglie”, ovverosia soggetti con centinaia di incarichi soprattutto in ambito pubblico. Certo, il tema andrebbe affrontato in sede di EDPB o in una futura revision del GDPR che, dal punto di vista tecnico, non escludo possa interessare già il prossimo Parlamento europeo, a beneficio della trasparenza delle designazioni.
Per quanto riguarda il secondo caso, ovverosia la costituzione di un elenco di soggetti “qualificati” può essere uno spunto per guardare alle skills richieste per la figura professionale di DPO come ad esempio ha fatto CNIL. Oggi, nei bandi, sono chieste delle attività da svolgere ma non vengono stabiliti parametri di efficacia, controllo e le selezioni sono dominate dal criterio dell’offerta economicamente più vantaggiosa. L’indicazione di una serie di skills fondamentali da parte dell’Authority non può che migliorare i processi di selezione.
A proposito di selezioni: qual è stato il compenso più basso che ha visto in una offerta di servizi di DPO?
Potrebbe sorprendere, ma ho avuto modo di vedere qualcosa che va oltre i famigerati 500 euro l’anno ovverosia dei DPO “gratis”, integrati in un pacchetto di servizi già acquistato. Molto spesso in situazioni di conflitto di interessi.
Quali sono le maggiori resistenze da superare riguardanti la figura del DPO?
La maggiore resistenza è accettare che la funzione agisca in affiancamento all’organizzazione. Il ruolo del DPO nasce per dare un valore aggiunto, ed è il soggetto che governa e supervisiona tutte le regole che l’organizzazione si è data per la compliance GDPR.
La figura può essere assimilata con il ruolo di RSPP, ma spesso viene considerata in modo astratto. Altrimenti, una carenza di effettività della funzione è la conseguenza logica.
Una delle cose più difficili da capire è che il DPO debba entrare da subito nelle scelte dell’organizzazione e dunque la necessità del suo coinvolgimento sin dall’inizio in un’ottica di privacy by design e con approfondimenti nel merito delle decisioni sin dalla fase embrionale della pianificazione.
Come superarle?
L’unico modo che vedo per scardinare questa resistenza è una integrazione della privacy all’interno dei processi dell’organizzazione, stabilendolo come parametro di valutazione dello “stato di salute” della stessa. Ad esempio, nei processi di M&A la correttezza del trattamento dei dati personali è riconducibile al rischio di contenzioso.
Dobbiamo accettare che viviamo in una realtà in cui i dati personali hanno un valore significativo e dunque occorre un controllo della regolarità dell’acquisizione degli stessi.
Esistono o sono auspicabili regole deontologiche comuni per i DPO?
Certamente. AssoDPO ha ad esempio adottato un codice etico per i propri associati e così anche altre associazioni. Ritengo che siano proprio le associazioni a dover promuovere regole e valori comuni per i propri associati e stabilire linee di condotta condivise.
Possiamo avere alcuni esempi?
La correttezza della gestione contrattuale. È necessario dichiarare sin dalla fase di contrattazione cosa il DPO potrà e dovrà fare e cosa invece non potrà fare, assicurando così che il titolare o il responsabile abbia da subito cognizione del ruolo operativo della funzione.
Alcune garanzie ulteriori, come avere un’assicurazione professionale o garantire la propria formazione continua, sono altrettanto importanti. Nel modo di comportarsi, invece, trovo particolarmente di rilievo assicurare una non discriminazione soprattutto un’integrità nello svolgimento dei propri compiti.
Cosa consiglia a chi deve o vuole provvedere alla nomina del DPO per non incorrere in gravi errori, a parte rivolgersi a chi presenta una contrattualizzazione chiara del rapporto?
Valutare la competenza specifica. In Spagna hanno addirittura costituito delle specializzazioni di settore per i DPO, e potremmo ispirarci anche a questo modello e non solo alle skill indicate da CNIL.
Ovviamente gli schemi di certificazioni così come i corsi pur non essendo abilitanti possono costituire delle evidenze valide per assolvere i criteri di selezione.
Cosa servirebbe ai DPO da parte dell’autorità di controllo?
Certamente, un Ufficio DPO presso l’Autorità Garante come accade in Francia. Avere un canale di comunicazione e possibilmente anche un funzionario dedicato può consentire di risolvere alcune problematiche in modalità autonoma e più celere rispetto al dover transitare per l’URP. Ad esempio, in caso di data breach o di valutazione d’impatto o consultazione preventiva.
Un suggerimento per i DPO in cerca di incarichi.
Studiare. Quello sempre: non si finisce mai.
Uno degli aspetti più importanti ora è approfondire il diritto comparato. In Europa pochissimi si sono specializzati in privacy comparata, eppure non è più sufficiente conoscere solamente il GDPR per svolgere il ruolo di DPO nel settore privato. Ovviamente, anche la lingua inglese è fondamentale per maturare esperienze internazionali.
Dopodiché fare rete. Coltivare contatti, formare dei team DPO per uno scambio continuo e la valorizzazione e contaminazione reciproca di esperienze che sono destinate ad essere sempre più specializzate.
Stefano GazzellaA soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...
Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
