Perché il DPO non può più essere un lupo solitario (e rischi di far fallire il GDPR)

Quando si parla della funzione del DPO è possibile escludere la possibilità di fare gioco di squadra, celebrando una sorte di one-person-band. Quando invece ci si trova a dover esercitare in modo sensato la funzione, allora è necessario ragionare su come fare gioco di squadra. Al di là dell’ovvia ricerca di sinergie con le ulteriori funzioni esterne o interne dell’organizzazione, è fondamentale infatti che venga garantita la capacità di svolgere i compiti attribuiti dall’art. 39 GDPR e, soprattutto, garantire la continuità della sorveglianza. Questo può comportare o lo stanziamento di risorse adeguato per coinvolgere altri professionisti o garantire alcuni collaboratori, o altrimenti la formazione di un team DPO.

Mentre il primo caso rientra nell’ambito dell’adeguatezza dello stanziamento di risorse che l’organizzazione deve fornire a supporto del DPO ai sensi dell’art. 38 par. 2 GDPR, nel secondo caso è invece chi si propone come DPO a dover fornire le evidenze necessarie a dimostrare la capacità di assolvere i propri compiti, come previsto dall’art. 37 par. 5 GDPR. Ovviamente, in entrambi i casi la responsabilità di adempiere agli obblighi previsti dal GDPR è e resta in capo all’organizzazione che deve comunque essere in grado di garantire l’effettività della funzione a partire dalla selezione e per tutto lo svolgimento dell’incarico.

Mentre la dotazione di risorse in termini di collaboratori a supporto del DPO è rimesso alla capacità dell’organizzazione di rispettare il GDPR e alla libertà di cui al principio di accountability, la formazione e conduzione del team DPO incontra necessariamente le regole proprie della funzione che vanno riferite più ad un “Office” che ad un singolo “Officer”.

Best practices per il team DPO.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La formazione del team DPO è presa in considerazione all’interno delle linee guida WP243 sui responsabili della protezione dei dati, indicando delle buone pratiche sia per favorire un’organizzazione trasparente e corretta sia per prevenire conflitti d’interesse. Ad esempio, è necessario non solo che ciascun componente del team possieda i requisiti per ricoprire l’incarico, ma che goda anche delle tutele previste dal GDPR fra cui principalmente quella dell’indipendenza funzionale prevista dall’art. 38 par. 3 GDPR.

Sul piano organizzativo, la ripartizione interna dei compiti è funzionale non solo per garantire l’efficienza del servizio ma anche per individuare un unico soggetto che faccia da referente per i vertici dell’organizzazione. Motivo per cui diventa opportuno dettagliare questo ambito all’interno del contratto di servizi (se esterno) o altrimenti nella descrizione del funzionamento dell’ufficio (se interno).

Quando il gioco di squadra è trasversale.

Ultimo ma non meno importante è l’aspetto invece del gioco di squadra fra DPO di diverse organizzazioni, il più delle volte nel rapporto titolare-responsabile (ma anche: fra contitolari, o titolari differenti). Poiché ciascun DPO svolge i propri compiti secondo un approccio risk-based nei confronti degli interessati, e gli interessati sono il comune denominatore dei trattamenti svolti fra questi soggetti differenti, è quanto mai opportuno – e invero, il più delle volte dimenticato – che si cooperi professionalmente in quanto si perseguono obiettivi se non proprio comuni quanto meno non divergenti: la garanzia della protezione dei dati personali degli interessati.

Questo comporta che nelle qualità personali espresse dallo svolgimento dei compiti sia riscontrabile anche quello spirito di leale collaborazione che invoca integrità e standard deontologici nel contribuire a dare efficace attuazione ai principi del GDPR e ai diritti degli interessati.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore