Il DPO, ma anche il consulente privacy, interagisce in modo significativo con il mondo dell’IT. Purtroppo non sempre lo fa in modo corretto, soprattutto perché alcuni falsi miti provocano quel rumore di fondo che è causa di una pessima comunicazione. Molto spesso per una combinazione fra un’incerta definizione di ruoli e responsabilità e la carenza di risorse. Che non sono limitate alla moneta sonante, ma contemplano anche una certa dose d’attenzione e forza d’azione.
L’incertezza del perimetro d’azione di una funzione di protezione dei dati personali come quella del DPO talvolta è alimentata da parte dello stesso professionista che, più per malafede e convenienza che per ignoranza, preferisce non chiarire mai ciò che deve fare. Altrimenti correrebbe il rischio di vedersi impegnato a lavorare e non ad accumulare incarichi, e nel tempo ci sarebbe una terribile conseguenza come bandi di gara deserti nella Pubblica Amministrazione e la richiesta che la funzione nel privato sia utile e non meramente cosmetico.
Chiariamo innanzitutto che il DPO non dev’essere un esperto cyber. Se lo è, ben venga, ma non è certamente un must have e quindi non costituisce un prerequisito per esercitare la funzione. Certo, avere cognizione dei fondamenti di sicurezza informatica giova non poco. Anche perché consente di comprendere se e quando fare ricorso alla consulenza di professionisti ed esperti, tanto all’interno quanto all’esterno dell’organizzazione.
Ovviamente, salvo disponibilità di budget. E la volontà di svolgere bene il proprio lavoro senza limitarsi a fare presenza.
Nel momento in cui i ruoli sono chiari innanzitutto al DPO, il coinvolgimento della funzione all’interno delle questioni che riguardano i dati personali comprende anche gli aspetti di sicurezza non è solamente un obbligo in capo all’organizzazione previsto dall’art. 38 par. 1 GDPR ma un obiettivo che il professionista deve essere capace di perseguire. Dosando competenza tecnica con ulteriori abilità trasversali per instaurare un dialogo e farsi così coinvolgere, in modo tale da sedere nei tavoli di lavoro e fornire così un apporto positivo al miglioramento della data maturity dell’organizzazione. Questo significa dunque apprendere quanto meno il linguaggio dell’IT altrimenti la comunicazione, eufemisticamente parlando, potrebbe dirsi difficoltosa.
Ovviamente, bisogna avere cura di non invadere campi non di propria spettanza (ad es. le prerogative del CISO), non solo per ragioni di buon vicinato ma anche per evitare una posizione di conflitto di interesse. Nell’ambito della sicurezza questo avviene nel momento in cui il DPO, svolgendo ulteriori compiti e funzioni che esulano da quelli propri della funzione, va a decidere sulla determinazione dei mezzi del trattamento, ovverosia le modalità e gli strumenti impiegati.
Per quanto il parere del DPO abbia un peso nella formazione di una decisione in ordine al ricorrere ad un responsabile del trattamento, ad esempio, o all’adozione di determinate misure di sicurezza, questa è comunque esercitata da parte del titolare. Soprattutto, il DPO non può essere il titolare della funzione IT.
L’autonomia e l’indipendenza del DPO non sono criteri formali ma devono essere valutati nel caso concreto, ma è indubitabile che è escluso in alcun modo che possa concorrere alle decisioni sui trattamenti o altrimenti essere assoggettato al potere di istruzione del titolare svolgendo operazioni sui dati sotto l’autorità di questi o per suo conto. Motivo per cui il semplice svolgere una funzione in ambito IT, quale ad esempio quella di operatore o amministratore di sistema, attrae una naturale incompatibilità con l’assunzione del ruolo del DPO, interno o esterno che sia.
E non c’è clausola che salvi a riguardo, dal momento che ciò che rileva è nella sostanza.
Insomma: coinvolgente, ma non troppo. Senza invasioni di campo.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
