Quando il DPO si improvvisa IT e dintorni, è sicuramente un bel problema. Ma un problema ancora peggiore c’è nel momento in cui la figura professionale viene sottovalutata, con quel tremendo lastricato di eccheccivuole che è ancor peggiore di quello delle buone intenzioni che tradizionalmente conduce all’inferno. Nel caso dell’organizzazione, la confusione dei ruoli e delle funzioni è quella tempesta perfetta di una Direzione inerte (o ignorante) e di una serie di soggetti che mostrano una spiccata propensione all’esondazione.
Questo significa che il perimetro d’azione non è solo sfumato ma rischia di diventare terreno di continui conflitti, con una dialettica interna decisamente sub ottimale in cui lo svilimento delle competenze altrui solitamente si mescola con un continuo scarico di responsabilità. Ecco dunque che il DPO diventa un personaggio in cerca non solo d’autore ma di un ruolo vero e proprio, dal momento che manca una consapevolezza e un riconoscimento tanto in relazione alle competenze che all’apporto concreto nel miglioramento degli assetti dell’organizzazione.
Non è un caso raro che talvolta il ruolo del DPO venga sottovalutato sia per quanto riguarda l’aspetto delle competenze richieste che dell’apporto nei confronti dell’organizzazione (o, più precisamente, della data maturity). Con il naufragio di ogni buon proposito astratto di integrarlo all’interno dell’organizzazione, dal momento che manca non solo una comprensione del suo ruolo ma soprattutto anche il giusto riconoscimento.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Qualcuno potrà dirsi sorpreso, ma in fondo dal 2018 sono trascorsi soltanto 7 anni celebrativi del GDPR. Eufemisticamente parlando, ci sono ancora così tanti spunti di miglioramento senza contare le complicazioni che deriveranno dal Digital Omnibus.
Nell’attribuzione di ruoli e responsabilità, l’azione di riconoscimento da parte dell’organizzazione inizia con l’impegno della Direzione nel garantire la posizione e i presidi individuati dall’art. 38 GDPR. Motivo per cui una Direzione non consapevole è spesso la prima causa dell’inefficacia d’azione del DPO, con una designazione destinata a rimanere una mera formalità. A beneficio di chi accumula incarichi attendendosi un coinvolgimento minimo se non addirittura nullo, con buona pace di ogni garanzia per gli interessati in concreto.
Nel momento in cui l’azione del DPO è riconosciuta come apporto utile all’organizzazione, è possibile costruire sinergie e convergenze per il rafforzamento della data maturity. Evitando non solo una dispersione di risorse ma anche un impiego delle stesse divergente rispetto alla realizzazione di quegli obiettivi indicati dalla normativa in materia di protezione dei dati personali.
Certamente, questo richiede però un impegno anche da parte del DPO.
Sin dal momento in cui il DPO viene designato, è bene infatti che vada a chiarire (con la Direzione, ma anche con le ulteriori funzioni) il perimetro della propria operatività e, soprattutto, la propria capacità di intervento a vantaggio degli obiettivi dell’organizzazione. Per farlo, non sono sufficienti le sole hard skill ma è necessario che concorrano anche una serie di abilità trasversali, fra cui leadeship e comunicazione, fondamentali affinché l’apporto positivo possa trovare l’opportunità di realizzarsi. Altrimenti, anche il DPO più competente nella protezione dei dati personali, sarà percepito come un elemento non integrato o di disturbo.
Ovviamente la responsabilità per garantire la continuità d’azione è e rimane in capo all’organizzazione, la quale dovrà pertanto porre particolare attenzione a selezionare e verificare l’operato del DPO designato al fine di agevolarne la capacità di integrarsi.
Nel momento in cui invece si sceglie di avere solo un DPO sulla carta, di fatto si accetta il rischio non solo di vedersi contestata una violazione dell’art. 38 GDPR ma anche tutta la serie di violazioni che si sarebbero ben potute evitare attraverso il coinvolgimento adeguato e il corretto svolgimento di un’attività di sorveglianza.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyber Italia
Hacking
Innovazione
Cybercrime
Cybercrime